ROMNIA ACADEMIA TEHNIC MILITAR

TEZ DE DOCTORAT CONTRIBUII PRIVIND MONITORIZAREA SECURITII REELELOR DE CALCULATOARE

Ing. Nicu-Sebastian NICOLESCU

Conductor tiinific: Prof. Dr. Ing. Victor-Valeriu Patriciu

Bucureti 2011

MULUMIRI

Adresez mulumirile cuvenite tuturor celor care, direct sau indirect, prin discuiile, sugestiile i expertiza oferit au contribuit la realizarea acestui demers tiinific i m-au susinut n finalizarea lui. Doresc s exprim cele mai sincere mulumiri i recunotin domului Prof. Dr. Ing. Victor-Valeriu Patriciu, conductorul tiinific al tezei mele de doctorat, pentru ncrederea acordat, precum i pentru sprijinul deplin i ndrumarea oferite pe tot parcursul programului de studii doctorale. Mulumesc domnului Conf. Dr. Ing. Iustin Priescu, din cadrul Universitii Titu Maiorescu, evaluarea acestei lucrri, precum i pentru sugestiile de cercetare, ncurajrile primite i suportul logistic oferit de-a lungul ntregii noastre colaborri. Mulumesc domnului Conf. Dr. Ing Ion Bica, eful catedrei Calculatoare i Sisteme Informatice Militare din cadrul Academiei Tehnice Militare, pentru orientrile oferite, precum i evaluarea critic a acestei lucrri. Doresc s adresez mulumiri Prof. Dr. Florentin Smarandache (University of New Mexico, USA), Dr. Pascal Djiknavorian (Universit Laval, Quebec, Canada) i Prof. Dr. Arnaud Martin (Universit de Rennes, Frana) pentru sprijinul acordat n aprofundarea aspectelor teoretice a Teoriei Dezert-Smarandache, pentru permisiunea oferit de a utiliza bibliotecile Matlab de fuziunea datelor, documentarea anumitor module, precum i sprijinul oferit n depanarea anumitor funcii ce au trebuit readaptate. In cele din urm, doresc sa aduc mulumiri familiei pentru susinerea, nelegerea i timpul acordat pe durata ntregii perioade de studiu.

CUPRINS
PREFA ...................................................................................................................................................................6 INTRODUCERE ........................................................................................................................................................7 DEFINIREA PROBLEMEI ............................................................................................................................................8 METODOLOGIA DE CERCETARE.................................................................................................................................9 ORGANIZAREA TEZEI DE DOCTORAT .......................................................................................................................10 SECURITATEA ACTUAL N INTERNET .......................................................................................................12 1.1 CONCEPTE GENERALE DE SECURITATE .............................................................................................................12 1.2 VULNERABILITI N REELE I SISTEME DE CALCUL .......................................................................................13 1.2.1 Protocoalele de comunicaie TCP i UDP...............................................................................................13 1.2.2 Posibilitatea de manipulare a datelor din pachetul IP ............................................................................14 1.2.3 Proiectri de soluii neadecvate ce permit scurgeri de informaii...........................................................14 1.2.4 Vulnerabiliti la nivelul protocoalelor de nivel aplicaie .......................................................................14 1.2.5 Vulnerabiliti la nivelul sistemelor de operare ......................................................................................15 1.2.6. Vulnerabiliti la nivelul serviciilor de infrastructur ale Internetlui ....................................................15 1.2.7 Vulnerabiliti la nivelul aplicaiilor .......................................................................................................15 1.2.8 Configurarea necorespunztoare a aplicaiilor i sistemelor..................................................................16 1.2.9 Factorul uman..........................................................................................................................................16 1.3 FAZELE DE COMPROMITERE ..............................................................................................................................17 1.4 TEHNICI DE SCANARE A REELELOR I SISTEMELOR .........................................................................................19 1.4.1 Tehnici de scanare a porturilor TCP .......................................................................................................19
1.4.1.1 Metode de scanare standard................................................................................................................................19 1.4.1.2 Metode de scanare TCP invizibil ......................................................................................................................20 1.4.1.3 Metode de scanare TCP fabricat (spoofed).......................................................................................................21

1.4.2 Scanarea porturilor UDP ........................................................................................................................23 1.5 ATACURI ASUPRA REELELOR I SISTEMELOR DE CALCUL................................................................................23 1.5.1 Atacuri asupra infrastructurii ..................................................................................................................24
1.5.1.1 Atacuri DoS........................................................................................................................................................25 1.5.1.2 Atacuri DoS asupra reelelor ..............................................................................................................................27 1.5.1.3 Atacuri DoS asupra sistemelor ...........................................................................................................................28 1.5.1.4 Atacuri pe baz de viermi...................................................................................................................................31

1.5.2 Atacuri asupra aplicaiilor i serviciilor..................................................................................................34 1.5.3 Atacuri asupra utilizatorilor ....................................................................................................................35 1.5.4 Scheme tipice de atacuri pe baz de mesaje de pot ..............................................................................36 1.5.5 Metodologii de clasificare a atacurilor ...................................................................................................41 1.6 COMPONENTA DE MONITORIZARE I PROCESUL DE SECURITATE .......................................................................42 1.6.1 Indicatori i avertismente.........................................................................................................................42 1.6.2 Procesul de securitate..............................................................................................................................44 1.6.3 Elementele procesului de monitorizare....................................................................................................45 PROCESE I POLITICI DE MONITORIZARE .................................................................................................46 2.1 PROCESUL DE MANAGEMENT AL RISCULUI. ......................................................................................................46 2.2. MODEL DE MONITORIZARE A SECURITII LA NIVELUL NTREGII ORGANIZAII ...............................................48 2.3 CONSIDERAII GENERALE ASUPRA POLITICILOR DE SECURITATE ......................................................................48 2.4 PROCESUL DE IMPLEMENTARE A UNUI PROGRAM DE MONITORIZARE ...............................................................50 2.4.1. Definirea strategiei de monitorizare .......................................................................................................51
2.4.1.1 Strategia de monitorizare la nivel organizaional i al misiunii sale ...................................................................52 2.4.1.2 Strategia de monitorizare la nivelul sistemelor informaionale...........................................................................52

2.4.2 Stabilirea de msurtori i metrici .........................................................................................................55

2.4.2.1 Standarde i metodologii pentru elaborarea metricilor de securitate ..................................................................56 2.4.2.2 Metrici pentru evaluarea vulnerabilitilor de securitate.....................................................................................57 2.4.2.3 Metrici pentru evaluarea controalelor de securitate n sistemele informaionale ................................................59

2.4.3 Implementarea programului de monitorizare ..........................................................................................62

2.4.3.1 Categorii de date utilizate n procesul de monitorizare.......................................................................................62 2.4.3.2 Implementarea tehnic a soluiei de monitorizare ..............................................................................................63

2.4.4 Rspunsul la incidentele de securitate .....................................................................................................63

2.4.4.1 Componentele procesului de tratare a incidentelor.............................................................................................63 2.4.4.2 Clasificarea incidentelor.....................................................................................................................................65

2.4.5 Revizuirea i actualizarea programului de monitorizare.........................................................................67 TEHNOLOGII DE MONITORIZARE A SECURITII...................................................................................71 3.1 CLASE DE TEHNOLOGII DE MONITORIZARE A SECURITII ................................................................................71 3.1.1 Tehnologii pentru culegerea direct a datelor........................................................................................71 3.1.2 Tehnologii pentru agregare i analiz .....................................................................................................72 3.1.3 Tehnologii de automatizare .....................................................................................................................73 3.2. TEHNOLOGII DE SCANARE A VULNERABILITILOR .........................................................................................73 3.3 TEHNOLOGII PENTRU DETECIA INTRUZIUNILOR ..............................................................................................76 3.3.1 Analiza fiierelor de jurnalizare ..............................................................................................................78
3.3.1.1 Soluii de analiz offline.....................................................................................................................................78 3.3.1.2 Soluii de analiz online .....................................................................................................................................78 3.3.1.3 Exemplu utilizare OSSEC pentru analiza fiierelor............................................................................................80

3.3.2 Monitorizarea integritii fiierelor .........................................................................................................81 3.3.3 Monitorizarea integritii sistemelor (detecia rootkit) ...........................................................................82
3.3.3.1 Detectoare bazate pe semntur..........................................................................................................................82 3.3.3.2 Detectoare bazate pe integritate..........................................................................................................................82 3.3.3.3 Detectoare de tip crossview................................................................................................................................83 3.3.3.4 Detectoare bazate pe comportament ...................................................................................................................83

3.3.4 Detecia intruziunilor cu sisteme capcan (honeypot).............................................................................84 3.3.5 Detecia pe baz de anomalii..................................................................................................................85
3.3.5.1 IDES Sistem expert pentru detecia n timp real a intruziunilor ......................................................................87 3.3.5.2 Wisdom & Sense Detecia activitilor anormale n sesiuni de lucru pe staii.................................................88 3.3.5.3 Computer Watch.................................................................................................................................................88 3.3.5.4 NADIR Sistem automat pentru detecia abuzurilor i intruziunilor n reea ....................................................88 3.3.5.5 Hyperview Component de reea neuronal pentru detecia intruziunilor .......................................................88 3.3.5.6 DPEM Monitorizarea distribuit a execuiei unui program. ............................................................................90

3.3.6 Detecia bazat pe semnturi...................................................................................................................90

3.3.6.1 USTAT Analiza tranziiilor de stare [IKP95] .................................................................................................91 3.3.6.2 IDIOT - Intrusion Detection In Our Time ..........................................................................................................92 3.3.6.3 Snort ...................................................................................................................................................................93 3.3.6.4 OSSEC ...............................................................................................................................................................94 3.3.6.5 RIPPER (Real Time Data Mining-based Intrusion Detection) ...........................................................................95

3.3.7 Sisteme IDS Hibride.................................................................................................................................96

3.3.7.1 Haystack .............................................................................................................................................................96 3.3.7.2 MIDAS: Sistem expert pentru detecia intruziunilor ..........................................................................................96 3.3.7.3 NSM Network Security Monitor .....................................................................................................................96 3.3.7.4 NIDES Next Generation Intrusion Detection System......................................................................................97 3.3.7.5 JiNao Detecia scalabil a intruziunilor pentru infrastructuri de reea critice ..................................................97 3.3.7.6 EMERALD Event Monitoring Enabling Responses to Anomalous Live Disturbances ..................................97 3.3.7.7 Bro......................................................................................................................................................................99

3.4 TEHNICI DE MONITORIZARE A INFRASTRUCTURII PENTRU ORGANIZAII MARI ................................................102 3.4.1. Contracararea atacurilor generate de viermi Internet .........................................................................102 3.4.2 Monitorizarea fluxurilor de comunicaie pereche pentru detecia BotNet.............................................104 3.4.3 Urmrirea atacurilor DDoS ..................................................................................................................105 3.5. MONITORIZAREA SPAIULUI DE AMENINRI GLOBAL PE BAZA RESURSELOR PUBLICE .................................106 3.5.1 Network Telescope.............................................................................................................................106 3.5.2 Dshield/Internet Storm Center ...............................................................................................................108 3.5.3 ATLAS (Active Threat Level Analysis System) .......................................................................................108 3.5.4 Studii de caz ...........................................................................................................................................110
3.5.4.1 Monitorizarea ameninrilor pe baza datelor CAIDA......................................................................................110 3.5.4.2 Monitorizarea ameninrilor pe baza datelor Dshield (ISC) ............................................................................112

ARHITECTURA DE MONITORIZARE A SECURITII .............................................................................114 4.1 EVALUAREA STRII DE SECURITATE A INFRASTRUCTURII IT A CLIENTULUI ...................................................114 4.1.1 Inventarul tehnic i organizaional ........................................................................................................114 4.1.2 Stabilirea modelelor de ameninare i a zonelor de monitorizare .........................................................115 4.1.3 Consideraii specifice zonelor de monitorizare wireless .......................................................................117 4.1.4 Baza de date cu vulnerabiliti ..............................................................................................................117 4.1.5 Politica de securitate .............................................................................................................................118 4.1.6 Evaluarea nivelului de securitate a clientului........................................................................................118

4.1.7 Consideraii asupra administrrii senzorilor dispui n perimetrul clientului ......................................119 4.2 COMPONENTELE ARHITECTURII DE MONITORIZARE A SECURITII ...............................................................119 4.2.1 Sisteme E................................................................................................................................................120 4.2.2 Sisteme C i D ........................................................................................................................................121 4.2.3 Sisteme A i K.........................................................................................................................................121 4.2.4 Sisteme R................................................................................................................................................123 4.3 CONSIDERAII ASUPRA PERFORMANELOR I LIMITRILOR N GENERAREA EVENIMENTELOR ........................123 4.4 COLECTAREA EVENIMENTELOR ......................................................................................................................124 4.4.1. Agenii de tip protocol...........................................................................................................................125 4.4.2 Dispecerul..............................................................................................................................................126 4.4.3 Agenii aplicaie .....................................................................................................................................126 4.4.4 Conlucrarea dispecerilor i a agenilor de aplicaie .............................................................................127 4.5. FORMATAREA DE DATE I STOCAREA ............................................................................................................127 4.5.1 Structura de date staie (host) ................................................................................................................127 4.5.2 Structura de date pentru mesaj ..............................................................................................................128 4.6. ANALIZA DATELOR ........................................................................................................................................129 4.6.1 Corelaia ................................................................................................................................................130
4.6.1.1 Contexte de corelaie ........................................................................................................................................132 4.6.1.2 Definirea contextului ........................................................................................................................................132 4.6.1.3 Organizarea contextelor....................................................................................................................................133 4.6.1.4 Structuri de date pentru contexte ......................................................................................................................134 4.6.1.5 Starea contextelor .............................................................................................................................................135

4.6.2 Analiza structural.................................................................................................................................136 4.7 RAPORTAREA I RSPUNSUL LA INCIDENTE ....................................................................................................137 4.7.1 Consola arhitecturii de monitorizare.....................................................................................................137 4.7.2 Portalul pentru client .............................................................................................................................137 4.7.3 Procedurile de rspuns i escaladare ....................................................................................................138 4.8 RISCURI I AMENINRI LA ADRESA ARHITECTURII DE MONITORIZARE ..........................................................139 4.8.1 Meninerea gradului de anonimat.........................................................................................................140 4.8.2 Evitarea deteciei ...................................................................................................................................141 4.8.3 Generarea de trafic normal ...................................................................................................................141 4.8.4 Degradarea sau stoparea procesului de monitorizare...........................................................................141 4.8.5 Probleme organizaionale......................................................................................................................142 MONITORIZAREA SECURITII N CONDIII DE INCERTITUDINE ..................................................143 5.1 CATEGORII DE IMPERFECIUNE A DATELOR ....................................................................................................143 5.2 TEORIA DEMPSTER-SHAFER (TDS) ................................................................................................................145 5.2.1 Regula de combinare DS........................................................................................................................146 5.3 TEORIA DEZERT-SMARANDACHE (TDSM) .....................................................................................................148 5.3.1 Funciile generalizate de ncredere .......................................................................................................149 5.3.2 Modele DSm...........................................................................................................................................150 5.3.3 Regula de combinare clasic DSm ........................................................................................................150 5.3.4 Regula de combinare DSm hibrid (DSmH)..........................................................................................151 5.3.5 Regula de redistribuire proporional a conflictului .............................................................................152 5.3.6 Exemplu utilizare a regulilor de combinare ..........................................................................................153 5.3.7 Transformarea pignistic .......................................................................................................................154 5.4 EXPERIMENT DE MONITORIZARE A SECURITII UTILIZND TDSM I TDS ....................................................155 5.4.1 Modelarea deteciei de intruziuni utiliznd teoria DSm ........................................................................155 5.4.2 Descrierea experimentului.....................................................................................................................156 5.4.3 Interpretarea rezultatelor obinute ........................................................................................................158 CONTRIBUII I REZULTATE TIINIFICE OBINUTE .........................................................................162 CONCLUZII FINALE I ABORDRI VIITOARE ..........................................................................................168 BIBLIOGRAFIE ....................................................................................................................................................171 PUBLICAII PERSONALE .......................................................................................................................................171 BIBLIOGRAFIE GENERAL.....................................................................................................................................173

Prefa
Odat cu migrarea pe Internet a tot mai multor activiti ale societii contemporane, a aprut i necesitatea unei alte abordri a securitii sistemelor IT. Dac n urm cu un deceniu securitatea informatic era n mare parte orientat spre produse, avnd un caracter preponderent defensiv i reactiv, abordrile de succes actuale trateaz securitatea ca un proces continuu ce ncorporeaz elemente de natur tehnologic, procedural i uman. Obiectivul acestei teze este de a oferi un studiu aprofundat asupra problematicii complexe a monitorizrii securitii n sisteme i reele de calculatoare, a ameninrilor din spaiul virtual, a tehnologiilor ce pot fi utilizate n construirea soluiilor de monitorizare, de a identifica i evalua practicile i procedurile necesare n implementarea i operarea unor astfel de soluii, precum i de a evalua noi modele teoretice cu scopul de a adresa anumite limitri existente n soluiile tehnologice actuale. Pentru a conferi o aplicabilitate ridicat rezultatelor cercetrii, cadrul de studiu al problematicii, tematica abordat, precum i construirea modelelor de evaluare a noilor teorii a fost centrat n jurul nevoilor i problemelor tipice organizaiilor care au o component de operare n spaiul digital.

Omul a fcut Internet-ul dup chipul i asemnarea sa. - Autor Necunoscut

INTRODUCERE
n 2001, Lawrence K. Gershwin (National Intelligence Officer pentru tiin i Tehnologie n cadrul US National Intelligence Council) afirma c tehnologiile informaionale reprezint cea mai important transformare global de la nceputul revoluiei industriale (mijlocul secolului al 18-lea) [GER01]. La acel moment afirmaia mi s-a prut forat, ns dup 10 ani n care am asistat la proliferarea accentuat a tehnologiilor informaionale n toate domeniile vieii sociale, i n toate colurile lumii, la influena acestora asupra unor procese majore (globalizarea economic, comerul electronic, externalizarea pe scar larg a resurselor umane) sau evenimente din domenii ct mai diverse (unul de ordin recent fiind Primvara arab din 2011), nclin s-mi reconsider opinia iniial. Utilizarea pe scar larg a tehnologiilor informaionale, a determinat apariia unui nou spaiu de desfurare a multora dintre activitile umane - numit adesea spaiul virtual (cyberspace). Elementele de ordin infracional i confruntaional ale lumii fizice nu au fcut excepie la aceast transpunere a activitilor n spaiul virtual, proliferarea activitilor maliioase fiind nlesnit de limitrile structurale existente la nivelul arhitecturii Internet-ului, precum i de un ir nentrerupt de vulnerabiliti datorate unor factori precum: existena unui segment important de utilizatori Internet care nc ignor msuri elementare de securitate a sistemelor pe care le folosesc, adoptarea de ctre organizaii a unor practici de securitate limitate sau ineficiente, complexitatea crescut a aplicaiilor, considerente de pia ce determin companiile productoare de software de a livra soluiile ct mai rapid, limitnd astfel timpul de testare, precum i adoptarea de soluii ce sacrific securitatea pentru a oferi simplitate n utilizare. Securitatea sistemelor i reelelor este un element fundamental pentru funcionarea Internet-ului, ea permind totodat transformarea acestuia dintr-un proiect de cercetare academic, ntr-o infrastructur de baz a societii zilelor noastre. Dependena de tehnologiile informaionale a creat noi categorii de vulnerabiliti pentru alte componente ale infrastructurii sociale, iar un atac major asupra Internet-ului va crea nu numai ntreruperi n ceea ce privete comunicaiile, ci va avea implicaii i asupra altor infrastructuri critice (transporturi, energie, bancar, etc.). De aceea, securitatea infrastructurii Internet-ului a cptat atenie deosebit n toate zonele sociale (academic, media, corporaii, militar, politic, etc.). n ciuda progreselor fcute n zona securizrii tehnologiilor Internet, marea majoritatea a soluiilor de securitate, bazate exclusiv pe suport tehnologic, a continuat s fie n continuare ineficace, realizndu-se treptat c securitatea n spaiul virtual este n esen o problem uman. Astfel, practici de securitate pe care societatea uman le-a desvrit de-a lungul istoriei sale au nceput s fie transpuse i n spaiul virtual.

Definirea Problemei

Datorit complexitii i dinamicii schimbrilor pe planul tehnologiilor IT, precum i a creterii diversitii i complexitii ameninrilor la adresa oricrei organizaii conectate la Internet, strategiile de securitate construite exclusiv pe mecanisme de protec ie sunt sortite eecului. Abordarea securitii ca proces, i dintr-o perspectiv proactiv, orientat spre identificarea i alertarea timpurie asupra potenialelor ameninri, sau atacurilor aflate n faze iniiale, poate oferi timpul necesar elaborrii unui rspuns eficace nainte ca organizaia s fie afectat. Asigurarea eficacitii oricrui gen de proces (inclusiv procesul de securitate), presupune adesea definirea i implementarea unei componente care s urmreasc constant evoluia procesului, astfel nct s se poat efectua n timp util corecii i actualizri ca rspuns la schimbrile ce au loc n mediul de operare. Pe baza analizei datelor oferite de rapoartele Verizon Data Breach din ultimii ani, se poate determina faptul c majoritatea breelor de securitate sunt rezultatul ignoranei sau al tratrii securitii ca produs (odat achiziionat, se ateapt s funcioneze pe o durat ndelungat fr intervenie). Spre exemplu, n raportul din 2011 se arat c 86% dintre atacuri au fost descoperite de o ter parte, 96% puteau fi evitate prin implementarea de controale de securitate de nivel simplu sau intermediar, iar n 83% din cazuri atacatorul a profitat de existena unor anumite de deficiene de securitate [Ver10]. O abordare procesual care s asigure o vizibilitate asupra componentelor cu relevan n procesul de securitate, este monitorizarea securitii. Aceasta se definete ca fiind abilitatea de a colecta, i analiza n timp util evenimentele i informaiile de securitate disponibile la nivelul organizaiei, att din surse interne i externe, n scopul elaborrii unui rspuns eficace la ameninri i atacuri. Ca i n cazul altor componente ale procesului de securitate, pentru o implementare i utilizare adecvat i eficient a monitorizrii securitii, organizaia trebuie s elaboreze n prealabil o politic de monitorizare, i un program de monitorizare care va gestiona elementele de ordin tehnologic, procesual i organizaional implicate n procesul de monitorizare a securitii. Dei anumite elemente ale procesului de monitorizare au fost prezentate n literatura de specialitate de-a lungul ultimilor ani, exist limitri n ceea ce privete interoperabilitatea tehnologiilor de detecie, procesele de evaluare a eficienei controalelor folosite, integrarea tehnologiilor i proceselor, abordarea unitar a surselor cu relevan de securitate, i eficiena analizei evenimentelor de securitate cnd datele au un grad ridicat de incertitudine. Toate acestea au constituit motive ntemeiate n alegerea temei de cercetare tiinific i pentru elaborarea tezei de doctorat. Abordarea n prezent a monitorizrii securitii n reele i sisteme de calcul reprezint un subiect foarte bine ancorat n tendinele, relevante pe plan mondial, din domeniul larg al securitii informaionale. Este printre primele teze de doctorat din lume care se ocup exclusiv de domeniul monitorizrii securitii, din perspectiva complexitii i a unor cerine ridicate, specifice programelor moderne de cercetare tiinific.

Metodologia de cercetare

Pentru elaborarea tezei de doctorat s-a folosit urmtoarea metodologie de lucru: s-au studiat numeroase articole, documentaii, standarde, cri etc. cu factor de impact ridicat i de actualitate, care analizeaz i descriu multiple aspecte din sfera monitorizrii securitii. S-au tratat subiecte neabordate n literatura de specialitate de la noi din ar, ct i din strintate (de exemplu, elaborarea unui cadru pentru definirea de metrici de securitate a reelelor i sistemelor din perspectiv organizaional, sau cercetarea aplicabilitii n domeniul monitorizrii securitii a teoriilor matematice ce trateaz fuziunea datelor cu incertitudine ridicat), s-au preluat ct mai multe surse bibliografice, s-a fcut o unificare terminologic i o structurare a lor, obinndu-se n final o abordare complex i unitar, utilizat n definirea conceptului de monitorizare a securitii. Acestei abordri i s-au adugat actualizri i completri, mbuntiri i contribuii originale (prezentate n capitolul 6), o parte experimental care cuprinde construirea modelului de testare, generarea traficului de testare, elaborarea programelor de procesare a datelor, scheme i grafice, precum i studii de caz referitoare la monitorizarea spaiului de ameninri n Internet. Rezultatele obinute au fost posibile i datorit activitii intense de cercetare n domeniul securitii informatice desfurate n laborator, a participrii i comunicrii la numeroase conferine i manifestri tiinifice, a efecturii unor cursuri de pregtire i de specializare n strintate la firme i institute de prestigiu, precum i colaborrii permanente cu personalul academic din Academia Tehnic Militar precum i alte institute de cercetare i nvmnt superior din Romnia, Canada, Frana i SUA. Principalele direcii de cercetare tiinific abordate n cadrul tezei au fost: Elaborarea unui cadru de studiu al problematicii diverse i complexe legat de monitorizarea securitii Starea actual de securitate n Internet: terminologia de securitate i monitorizare a securitii, analiza spaiului de ameninri i vulnerabiliti, clase i scheme de atac; Politici i procese de securitate: programul de monitorizare a securitii, cadrul de metrici de evaluare a strii de securitate, oportuniti pentru mbuntirea proceselor de securitate Tehnologii de monitorizare a securitii: tehnologii de detecie, de scanare a vulnerabilitilor, verificare a conformrii cu politica de securitate, spaiul de ameninri, oportuniti de mbuntire a tehnologiilor Arhitecturi de monitorizare: Integrarea multiplelor componente tehnologice, i procesuale, considerente asupra generrii evenimentelor de securitate, colectrii i formatrii, datelor analiza i prezentarea datelor, rspunsul la incidentele Posibiliti de utilizare a noi modele matematice pentru a adresa limitri ale tehnologiilor curente n procesarea datelor de securitate ce prezint un nivel ridicat de incertitudine i conflict.

Organizarea tezei de doctorat

Teza de doctorat, elaborat pe parcursul a peste 180 de pagini, debuteaz cu aceast seciune introductiv, urmat de 5 capitole dedicate unor aspecte tehnologice i procesuale implicate n procesul de monitorizare a securitii, i se ncheie cu o evaluare final a rezultatelor i contribuiilor, cu un capitol de concluzii, precum i cu bibliografia utilizat. Lucrarea conine peste 220 de referine bibliografice circumscrise temei, precum i o list cu cele mai semnificative lucrri realizate i publicate de autor n domeniul tezei, n numr de 21. De menionat faptul c, unele dintre aceste lucrri sau bucurat de o apreciere deosebit din partea comunitii tiinifice internaionale pn n prezent, fiind citate n 2 teze de doctorat, 4 teze de master, i 9 articole publicate n jurnale i reviste de specialitate. Capitolul 1 este dedicat strii actuale de securitate n Internet. n prima parte se definesc conceptele generale de securitate i relaiile dintre acestea, dup care se prezint clasele majore de vulnerabiliti i fazele tipice prin care un atacator compromite un sistem. n continuare se descriu activitile asociate fiecrei faze de compromitere detaliindu-se tehnicile de scanare, clasificarea atacurilor, precum i modul de desfurarea a acestora. n finalul capitolului 1 se definete componenta de monitorizare a securitii, precum i rolul i locul su n cadrul procesului de securitate. n acest capitol se propun urmtoarele contribuii: definirea unui cadru pentru detecia intruziunilor i a procesului de monitorizare asociat acestuia, schematizarea atacurilor tipice pe baz de mesaje de pot, analiza comparativ a tehnicilor de scanare utilizate n propagarea viermilor n Internet Capitolul 2 vizeaz metodologia de creare a unui program de monitorizare a securitii plecnd de la analiza managementului de risc n organizaie. Sunt prezentate elemente precum stabilirea strategiei de monitorizare, stabilirea de msurtori i metrici, precum i politici de securitate specifice fiecrui nivel din organizaie. Capitolul 2 continu cu prezentarea procedurilor de rspuns la incidente precum i de revizuire i actualizare pe o baz continu a procesului de monitorizare a securitii. n cadrul acestui capitol se propun urmtoarele contribuii: Elaborarea unui cadru pentru definirea de metrici de securitate, definirea i evaluarea unui cadru pentru partajarea informaiilor de intruziune la nivel global, precum i definirea unui model de monitorizare complet a securitii ce include toate elementele cu relevan pentru procesul de securitate. Capitolul 3 prezint clasele de tehnologii de monitorizare disponibile n acest moment pentru implementarea un program de monitorizare complet a securitii la nivelul securitii. Se continu apoi cu prezentarea tehnologiilor de scanare a vulnerabilitilor i tehnologiile de detecie a intruziunilor bazate pe anomalii, semnturi, metode hibride, precum i pe analiza fiierelor de jurnalizare, monitorizarea integritii fiierelor i sistemelor. n partea final a capitolului 3 sunt tratate tehnologii specifice de monitorizare pentru reele mari avnd ca scop identificarea ameninrilor majore pentru infrastructura Internetului. Capitolul se ncheie cu un studiu de caz asupra monitorizrii ameninrilor din spaiu virtual pe baz de date provenind din surse publice. Se propun urmtoarele contribuii: sintetizarea i elaborarea unei evaluri asupra tehnologiilor de culegere a datelor utilizate n procesul de monitorizare a securitii, elaborarea unui studiu comparativ i a unei caracterizri structurale a tehnologiilor de detecie a intruziunilor i a implementrilor de sisteme IDS, evaluarea tehnicilor de urmrire a 10

atacurilor DDoS, precum i un studiu de caz pentru analiza spaiului de ameninri pe baza datelor publice oferite de sistemele de monitorizare global n Internet. Capitolul 4 este dedicat arhitecturii de monitorizare a securitii stabilit pe baza modelelor OSSIM, Counterpane i MCI Sentry. Se descriu componentele de baz ale arhitecturii: surse de evenimente, colectoare, baza de date cu mesajele de securitate n format comun i baza de cunotine, precum i modulele de analiz i aplicaiile pentru suportul rspunsului la incidentele de securitate identificate. Concomitent cu descrierea fiecrei componente se prezint i consideraii cu privire la performanele i limitrile acestora precum i aspecte legate de integrarea diverselor componente i tehnologii. O atenie deosebit n acest capitol se acord tehnicilor de corelaie care sunt utilizate n modulele de analiz ale arhitecturii. n cadrul acestui capitol se propun urmtoarele contribuii: elaborarea unei arhitecturi generice de monitorizare a securiti, precum i a unui set de consideraii pentru faza de implementare a arhitecturii, elaborarea unui studiu asupra tehnicilor de corelaie a datelor n procesul de monitorizare a securitii, studiul i evaluarea ameninrilor i riscurilor la adresa arhitecturii de monitorizare. Capitolul 5 este destinat studierii de noi modele matematice pentru adresarea mai eficient a cazurilor n care datele de monitorizare prezint un grad ridicat de incertitudine sau conflict. Se prezint un cadru de identificare a imperfeciunii datelor din sfera monitorizrii securitii plecnd de la clasificarea imperfeciunii informaiilor realizat de Smet. Apoi, se introduc modele matematice precum Teoria DempsterShafer i Teoria Dezert-Smarandache (TDSm) pentru fuziunea informaiilor ce prezint un grad ridicat de incertitudine. n partea final a capitolului 5 se urmrete verificarea aplicabilitii TDSm n eficientizarea deteciei intruziunilor n condiii de incertitudine ridicat. Pentru aceasta s-a construit un model experimental n care date de trafic legitim i atac sunt generate n regim controlat. Acestea sunt observate de un sistem IDS (Snort), care la rndul su genereaz alerte cu prioriti diferite. Pe baza acestor alerte se creeaz evenimente asociate unui spaiu de discernmnt i care se combin pe baza a diferite reguli de fuziune (Shafer, PCR5, DSmH). Validarea a constant n verificarea concordanei ntre realitate i rezultatul generat de pe baza regulilor de fuziune, precum i rapiditatea de detecie a schimbrilor care apar n mediu. n cadrul acestui capitol se propun urmtoarele contribuii: construirea unui cadru de identificarea imperfeciunii datelor n sfera monitorizrii securitii, studiul n premier al DSmT n vederea utilizrii n domeniul monitorizrii securitii, precum i crearea unui model experimental de evaluare a aplicabilitii TDSm n zona monitorizarea securitii. Capitolul 6 prezint o sintez a rezultatelor tiinifice i a contribuiilor obinute n perioada de pregtire a doctoratului i de elaborare a tezei. Capitolul 7 este dedicat analizei ndeplinirii obiectivelor propuse, prezint concluziile finale rezultate, precum i direciile viitoare de continuare a cercetrii n domeniul securitii monitorizrii i a altor domenii de securitate conexe.

11

Motto: Daca ii cunoti inamicul i pe tine, nu trebuie s te ngrijorezi de rezultatele a o sut de btlii. - Sun Tzu

CAPITOLUL 1

SECURITATEA ACTUAL N INTERNET

Datorit importanei crescute a activitilor desfurate n spaiul virtual, securitatea informaional a atras o atenie sporit att din partea cercettorilor n domeniu, a organizaiilor conectate la Internet, dar i a mediilor de informare n mas. Schimbrile constante n plan tehnologic, au generat adesea interpretri variate ale conceptelor i terminologiei de securitate. n acest capitol se vor prezenta concepte generale de securitate i o descriere a spaiului de vulnerabiliti i ameninri tipice la adresa organizaiilor i utilizatorilor ce opereaz n spaiul virtual.

1.1 Concepte generale de securitate

Asemenea tuturor domeniilor de securitate, securitatea n spaiul virtual opereaz cu urmtoarele concepte: ameninri, vulnerabiliti, riscuri, bunuri, etc. Aceste concepte generale, precum i relaiile dintre ele sunt ilustrate n figura 1.1 [CC99]. n contextul securitii n spaiul virtual, o ameninare poate fi definit ca fiind prezena unui potenial eveniment care ar putea avea efecte negative prin violarea unui mecanism de securitate. Vulnerabilitatea se definete ca fiind o slbiciune a infrastructurii sau sistemului ce poate permite violarea securitii. Riscul reprezint gradul de pericol sau probabilitatea de pierderi sau distrugere, a informaiilor proprietare i/sau a sistemelor de calcul utilizate n procesarea, transmiterea i stocarea acestor date. Bunurile reprezint entiti (cum ar fi: hardware, software, date, personal uman, etc.) pe care organizaia sau utilizatorul le valorizeaz i care constituie inta unui atac [Pfl11]. Agenii de ameninare provin din surse multiple i au motive, obiective, capabiliti dintre cele mai variate. Acetia pot fi: angajai ai organizaiei, servicii de spionaj, hackeri, grupuri extremiste i teroriste, grupuri de activism, grupuri de crim organizat, competitori, etc.. Un atac (sau incident de securitate) n spaiul virtual este materializarea unei ameninri, i reprezint aciunea ilegal, neautorizat, sau inacceptabil, care implic un sistem de calcul sau o reea de calculatoare, prin care o entitate intern sau extern compromite ateptrile de securitate ale utilizatorului sau organizaiei [Man03]. Formalizarea modului de identificare a vulnerabilitilor i evaluarea riscului, a msurilor

12

(controalelor) luate pentru a contracara ameninrile din spaiul virtual i minimizarea riscurilor, stabilirea membrilor organizaiei cu atribuii n procesul de implementare, se vor regsi ntr-un set de documente ce definesc politica de securitate. Politica de securitate este mijlocul prin care o organizaie asigur managementul implementrii i eficacitatea securitii [Jon10].

Figura 1.1 - Concepte de securitate conform CCIMB-99-031 [CC99]

1.2 Vulnerabiliti n reele i sisteme de calcul

Vulnerabiliti exist n orice reea sau dispozitiv incluznd rutere, swich-uri, staii client sau server, i chiar dispozitive de securitate [Gre11]. Vulnerabilitile pot fi datorate configuraiei, politicii de securitate, utilizatorilor i tehnologiei [PNN10]. Vulnerabilitile tehnologice sunt datorate deficienelor structurale de securitate la nivelul suitei de protocoale de comunicaie TCP/IP sau a implementrilor acestora, deficienelor de securitate n sistemele de operare sau ale echipamentelor de reea. Administratorii de sistem i de reea trebuie s cunoasc problemele specifice de configuraie pentru echipamentele i sistemele pe care le gestioneaz pentru a fi create intrri n politica de securitate pentru verificarea configuraiilor. Managementul necorespunztor al politicii de securitate (actualizri incorecte sau neefectuate la timp) conduce la riscuri sporite.

1.2.1 Protocoalele de comunicaie TCP i UDP

Protocoalele de comunicaie n Internet au fost proiectate pentru a permite o comunicare simpl i rapid ntre sisteme, fr a ncorpora elemente de securitate. Referitor la acest aspect, unul din creatorii Internetlui, Vint Cerf (n prezent Vice President & Chief Internet Evangelist la Google), a menionat: dac a avea posibilitatea s proiectez reeaua din nou, a ncorpora capabiliti de autentificare automat astfel nct pachetele de la surs ctre destinaie s aib semntura digital a utilizatorului. Aceasta nu s-a putut face atunci [cnd am proiectat Internet-ul] deoarece tehnologia nu exista. [Cerf04] 13

Primul nivel de atac presupune descoperirea serviciilor existente n reeaua int. Aceasta implic o serie de tehnici disponibile atacatorului pentru a obine informaii despre reeaua vizat cu ar fi [PPN05-02]: Sondri ping (ping sweeps) sondarea unui grup de adrese IP pentru a determina staiile active Scanri TCP/UDP prezentate pe larg n seciunea 1.4 Identificarea sistemului de operare Dorit particularitilor de implementare a stivei de protocoale de ctre fiecare productor, pe baz analizei pachetelor TCP schimbate cu o staie, se poate determina tipul de sistem de operare i eventual versiunea acestuia. Aceast informaia poate fi util atacatorului n a nelege rolul sistemului respectiv, i serviciile ce pot rula pe acesta.

1.2.2 Posibilitatea de manipulare a datelor din pachetul IP

Deoarece adresa sursa din pachetul IP nu este folosit n procesul de rutare ctre destinaie, atacatorul poate falsifica (spoof) aceast informaie i abuza maina int ascunzndu-i identitatea. Acest tip de vulnerabilitate este exploatat cu predilecie de atacurile de tip Denial of Service (DoS).

1.2.3 Proiectri de soluii neadecvate ce permit scurgeri de informaii

Acesta este cazul integrrii unor tehnologii pentru a adresa adesea nevoi de eficientizare n organizaie, dar care pot genera noi vulnerabiliti. Un exemplu n acest sens este accesibilitatea informaiilor director. Pentru a valida legitimitatea adresei destinatar din mesajele de pot, multe organizaii au integrat serviciile ce ruleaz pe staiile gateway (ce recepioneaz pota) cu serviciile director (cum ar fi LDAP/Active Directory) ale organizaiei. Dac adresa destinatarului este valid, mesajul este acceptat spre livrare. Dac adresa nu exist, expeditorul este notificat despre acest lucru. Atacurile de culegere a informaiilor director - DHA (Directory Harvest Attacks) exploateaz aceast vulnerabilitate prin trimiterea de mesaje ctre o list posibil de adrese de pot din domeniul int. Pentru mesajele pentru care nu se primete notificarea de invaliditate a adresei se poate asuma c sunt legitime, putnd fi folosite ntr-un viitor atac. O soluie pentru acest tip de vulnerabilitate ar fi ca serverul s proceseze mesajele cu adres invalid, ns aceasta are ca rezultat un volum din ce n ce mai mare de procesare pentru organizaie [PPN06-02].

1.2.4 Vulnerabiliti la nivelul protocoalelor de nivel aplicaie

De-a lungul timpului au fost semnalate o serie de vulnerabiliti n protocoalele native de pot electronic (SMTP, IMAP i POP), Web (HTTP), cum ar fi: susceptibilitate ridicat la atacurile de tip dicionar (POP i IMAP), transmiterea traficului de date i autentificare n clar (vulnerabilitate exploatat de sniffere), lipsa unui mecanism nativ de autentificare pentru SMTP (exploatat de atacurile de tip SPAM i phishing), existena nc pe scar larg a multor servere SMTP configurate s accepte mesaje de la orice utilizator (open relay), i nu n ultimul rnd o suit de bug-uri n diferitele implementri ale acestor protocoale (exploatate adesea de atacurile de tip buffer overflow) [PPN04] .

14

1.2.5 Vulnerabiliti la nivelul sistemelor de operare

Sistemele de operare de tip Windows suport o larg gam de servicii, metode i tehnologii lucru n reea. Multe din aceste componente sunt implementate ca Programe de Control a Serviciilor aflate sub controlul unui Manager de Control al Serviciului ce ruleaz sub numele de Services.exe. Vulnerabilitile n aceste servicii care implementeaz funcionaliti ale sistemului de operare reprezint una din cele mai ntlnite ci de abuzare a staiilor ce ruleaz sisteme Windows. Vulnerabilitile de tip buffer overflow exploatabile de la distan continu s fie o problema serioas de securitate care afecteaz serviciile Windows. O parte din serviciile sistem de baz ofer interfee clienilor din reea prin mecanismul RPC (Remote Procedure Calls). Alte servicii Windows implementeaz interfee de reea pe baza altor protocoale, inclusiv a celor standard cum ar fi SMTP, NNTP, HTTP, etc. Multe din aceste servicii pot fi exploatate de sesiuni de tip anonim (sesiuni cu nume utilizator i parol nule) pentru a executa cod cu privilegii SYSTEM [PPN05-01]. Produsele iniiale Windows aveau activate implicit multe din aceste servicii pentru a asigura o convenien utilizatorilor cu cunotine limitate. ns aceste servicii, adesea neutilizate de cei mai muli dintre utilizatori, aduc riscuri de securitate suplimentare. n ceea ce privete sistemele UNIX/Linux, acestea includ n configuraia iniial un numr de servicii standard care pot fi exploatabile datorit configurrii inadecvate.

1.2.6. Vulnerabiliti la nivelul serviciilor de infrastructur ale Internetlui

Un exemplu de serviciu critic pentru infrastructura Internetlui este DNS. Acesta gzduiete nregistrrile de tip MX utilizate n rutarea mesajelor de pot ctre domeniul destinaie, ct i nregistrri de tip adres ale altor sisteme ce ofer servicii de reea (Web, autentificare, VPN). DNS ca multe alte protocoale de baz ale Internetlui dateaz din perioada iniial caracterizat de ncredere mutual. Acest model de ncredere nu mai este de actualitate, iar tranzaciile DNS pot fi viciate de atacuri de tip: cache poisoning, domain hijacking, i redirecie man-in-the-middle [PPN09]. Unele din metodele propuse de autentificare a mesajelor de pot cum ar fi Sender Policy Framework (SPF), SenderID, Domain Keys, Cisco Identified Internet Mail au la baz verificarea domeniului destinatarului utiliznd serviciul DNS n actuala form sau modificat. Pentru a limita cazurile de impersonare a serverelor de web, se recomand utilizarea certificatelor de securitate, securizarea serviciului DNS, etc. Totui sunt multe organizaii care nc nu folosesc astfel de soluii.

1.2.7 Vulnerabiliti la nivelul aplicaiilor

Outlook Express este aplicaia client de pot instalat pe toate versiunile de sisteme Windows. Vulnerabilitile n acest produs pot fi exploatate pe baza urmtorilor vectori de atac [PN06]: Atacatorul poate trimite ntr-un mesaj de pot un document Office maliios care este rulat de client. Acest vector de atac este exploatat de virui i de o anumit categorie de viermi (worms).

15

Atacatorul poate rula un server de tiri (News) care trimite rspunsuri maliioase pentru a genera buffer overflow n aplicaiile client de pot. Vulnerabilitile la nivelul clienilor de navigare (IE, Firefox, Google Chrome, etc) pot fi exploatate n cazul n care utilizatorul acceseaz locaiilor web ce conin scripturi (JavaScript, PHP, ASP) ce implementeaz astfel de exploatri. Google (ce ruleaz principalul motor de cutare) realizeaz o scanare a coninutului paginilor indexate, ns posibilitatea de acces indirect (prin alte site-uri) permite eludarea acestui mecanism de protecie. De-a lungul timpului au fost identificate vulnerabiliti afectnd mai toate categoriile reprezentative de aplicaii utilizate n Internet cum ar fi: cele de accesare coninut media (Adobe Flash), aplicaiile de transmitere mesaje instant (Yahoo! Messenger, AOL Instant Messenger, MSN Messenger, Jabber, Trillian, Skype, Google Talk sau IRC), i chiar aplicaiile antivirus (AhnLab, Avast!, AVIRA, BitDefender, ClamAV, Computer Associates, F-Secure, Kaspersky, Mcafee, Sophos, Symantec, Trend Micro sau ZoneAlarm). Chiar dac aceste vulnerabiliti nu vizeaz n mod direct securitatea serviciilor de baz n reea, prin preluarea controlului asupra staiilor afectate de acest gen de vulnerabiliti, securitatea altor servicii poate fi compromis.

1.2.8 Configurarea necorespunztoare a aplicaiilor i sistemelor

Vulnerabilitile n configurarea echipamentelor, aplicaiilor i sistemelor de operare pot fi clasificate dup cum urmeaz [PPN06-01]: Configuraii implicite. Majoritatea aplicaiilor i sistemelor ajung la utilizatorii finali avnd o configuraie ce urmrete o funcionalitate ct mai sporit i utilizare ct mai simpl. Din pcate acest gen de configuraii expun sistemul la riscuri considerabile. Practica a artat c staiile sau ruterele wireless de cas n configuraiile iniiale poate fi compromise n foarte scurt timp. Parole administrator nule sau implicite. Multiple teste de vulnerabilitate au artat c un numr surprinztor de mare de sisteme i aplicaii att n rndul reelelor de organizaie ct i n rndul utilizatorilor de cas sufer de aceast problem. Erori de administrare. Necunoaterea sau simple erori umane pot conduce la situaii n care aplicaia, sau sistemul sunt configurate necorespunztor. Odat cu rspndirea pe scar larg a accesului utilizatorilor la conexiuni de band larg i construirea de mini reele de cas, exist riscul ca un numr mare dintre sistemele i reele necorespunztor administrate s intre sub controlul atacatorilor, putnd fi folosite pentru atacul asupra altor reele.

1.2.9 Factorul uman

Realitatea a demonstrat n repetate rnduri c oamenii nu contientizeaz ndeajuns importan informaiilor pe care le dein i sunt neglijeni n ceea ce privete protecia acestora. Intruziunile de natur non-tehnic ce se bazeaz n principal pe interaciunea uman i urmresc inducerea n eroare a utilizatorilor n scopul nclcrii procedurilor de securitate uzuale fiind cunoscute n literatura de specialitate sub numele de inginerie social. Agenii de ameninare determinai (cum ar fi cei care opereaz n sfera spionajului industrial) posed cunotine ale psihologiei umane i abilitai comunicaionale 16

deosebite ce pot exploata vulnerabilitile factorului uman pentru a obine informaii greu accesibile prin mijloace exclusiv tehnice. Experii de securitate estimeaz c pe msur ce societatea devine din ce n ce mai dependent de informaii, ingineria social va rmne cea mai important ameninare la adresa oricrui sistem de securitate. Protecia presupune contientizarea utilizatorilor asupra valorii informaiilor, instruirea n ceea ce privete mijloacele de protecie i a modului n care inginerii sociali opereaz. Utilizarea pe scar larg a reelelor de socializare (cum ar fi Facebook, MySpace), nlesnete culegerea de informaii personale, permind elaborarea de atacuri direcionate de culegere de informaii.

1.3 Fazele de compromitere

Pentru a detecta intruziunile, trebuie nelese aciunile necesare pentru compromiterea unei inte. Cele cinci faze descrise n continuare reprezint o modalitate prin care un atacator poate prelua controlul asupra unei victime. Scenariul prezentat mai jos urmrete atacurile generate din afar care sunt mult mai frecvente i reprezint o problema major pentru organizaii [PPN07-01]. Conform raportului annual despre breele de date analizate de firma Verizon n 2010, 92% dintre acestea au fost generate de ageni externi organizaiei. Recunoaterea reprezint procesul de validare al conectivitii, verificare a serviciilor active i identificare a aplicaiilor vulnerabile. Atacatorii care verific vulnerabilitatea unui serviciu nainte de a cuta s exploateze inta, au o mai mare probabilitate de succes. Recunoaterea ajut atacatorul n planificarea atacurilor ntr-o manier ct mai eficient posibil. Recunoaterea poate fi condus prin mijloace tehnice precum i nontehnice cum ar fi obinerea de informaii incorect distruse, sau de la persoane din interior dornice s ofere informaii. Dintre tehnicile de colectare prealabil de informaii despre int din surse publice se amintesc: Cutri avansate pe web, forumuri un exemplu n acest sens este utilizarea de opiuni avansate ale motoarelor de cutare pentru a beneficia de scurgeri de informaii (de exemplu: utilizarea opiunii allintitle: index of / site:.mta.ro la o cutare Google) datorate erorilor de postare sau management a documentelor n organizaia int. Reele de socializare - n cazul n care inta este o persoan Interogri DNS utiliznd aplicaii simple precum nslookup. Interogri Network Information Centers (NICs) - bazele de date WHOIS Sondarea SMTP - simpla trimitere a unui email la o adres inexistent n domeniul int ofer adesea informaii utile despre reeaua vizat. Exploatarea reprezint procesul de utilizare neautorizat, subversiv sau de creare de bree n serviciile de pe staia int. Preluarea controlului reprezint faza n care atacatorul caut s obin capabiliti suplimentare asupra intei. n timp ce unele exploatri conduc ctre obinerea de privilegii de nivel superuser, altele ofer doar acces la nivel utilizator. Atacatorii caut s gseasc modaliti pentru a obine privilegii mai mari pe staia int. De asemenea, atacatorul va urmri tergerea informaiilor din fiierele de log, adaug conturi neautorizate i distruge orice informaie (procese, fiiere) care evideniaz prezena sa ilegitim. Unii atacatori pot instala i mijloace de comunicare cu exteriorul ( back doors). 17

Consolidarea are loc cnd atacatorul comunic cu victima prin intermediul back doorlui. Back door-ul poate lua forma unui serviciu de ascultare la care atacatorul se conecteaz. Odat ce sunt amplasate canalele de comunicaie acoperite ntre atacator i victim, abilitatea sistemelor de detecie sau a analistului de securitate de a detecta astfel de trafic este pus la mare ncercare. n aceast faz atacatorul are control complet asupra intei, singurele limitri sunt impuse de dispozitivele de filtrare a traficului din reea ntre atacatori i victime. Abuzul reprezint materializarea obiectivului atacului. Aceasta poate fi: furtul de informaie, construirea unei baze de atac ctre alte staii din organizaie, sau orice altceva ce atacatorul urmrete.
Faza de compromitere Recunoaterea Descriere Enumerare staii, servicii i versiuni de aplicaie Probabilitat ea de detecie Medie ctre mare Avantaje de partea atacatorului Atacatorii efectueaz descoperiri de staii i servicii pe durata de timp ndelungat utiliznd caracteristici normale de trafic Atacatorii pot exploata serviciile utiliznd criptare sau masca traficul de exploatare Avantaje de partea aprrii Atacatorul se desconspir prin diferenele ntre traficul lor i traficul utilizatorilor legitimi

Exploatarea

Accesul neautorizat, subversiv sau bree n servicii Instalarea de aplicaii pentru a obine privilegii suplimentare i / sau s-i mascheze prezena Comunic prin intermediul unei back door, n mod uzual, un canal acoperit

Medie

Preluarea controlului

Mare

Exploatrile nu apar ca trafic legitim, iar sistemele IDS au semnturile pentru a detecta majoritatea atacurilor Criptarea poate ascunde Traficul dinspre coninutul aplicaiilor serverul victim ctre instalate exterior poate fi supravegheat i identificat Avnd control total asupra ambelor capete de comunicaie activitatea atacatorului este limitat doar de controlul de acces al traficului oferit de dispozitivele aflate n calea de comunicaie Odat ce opereaz pe o main de ncredere, activitile atacatorului sunt mult mai dificile de observat Pe baza profilelor de trafic se pot determina caracteristici atipice corespunztoare utilizrii unui back door de ctre atacator . Sistemele de detecia intruziunilor pe staii pot identifica activiti n aceast faz Analitii cu abiliti superioare pot determina devieri de la caracteristicile de trafic ale sistemelor interne

Consolidarea

Mic ctre medie

Abuzul

Furtul de informaii, deteriorarea unui bun, sau compromiterea ntregii organizaii

Mic ctre medie

Tabel 1.1 Detectarea intruziunilor pe durata fazelor de compromitere

18

1.4 Tehnici de scanare a reelelor i sistemelor

Scanarea reprezint una din activitile de baz ale fazei de recunoate prin care atacatorul urmrete identificarea sistemelor active i accesibile din exterior, precum i a serviciilor pe care le ofer, folosind diverse metode i teste de scanare a porturilor, de detectare a sistemului de operare. Tipurile de informaii colectate n urma scanrii se refer la [PNN10]: Serviciile TCP/UDP ce ruleaz pe fiecare sistem identificat Arhitectura sistemului Adresele IP ale sistemelor accesibile via Internet Tipul sistemului de operare. Atacatorul va cuta ca prin volumul i structura traficului de scanare generat s nu atrag atenia administratorilor de securitate i sistem din organizaia int.

1.4.1 Tehnici de scanare a porturilor TCP

Porturile TCP accesibile pot fi identificate prin scanarea adreselor IP int. Urmtoarele tipuri de scanare a porturilor TCP sunt folosite att de atacatori n faza de recunoatere, ct i de organizaii pentru identificarea propriilor vulnerabiliti: 1.4.1.1 Metode de scanare standard Aceste metode permit identificarea cu acuratee a porturilor i serviciilor active, dar sunt uor de identificat i jurnalizat. Organizaiile le folosesc n mod curent pentru detectarea propriilor vulnerabiliti. 1.4.1.1.1 Scanare TCP connect Se trimit pachete de sondare SYN la portul ce verific. Dac sistemul verificat rspunde cu un pachet ce are SYN i ACK setate, atunci portul este deschis. Dac portul este nchis, se recepioneaz direct un pachet RST/ACK. Conexiunea se stabilete prin trimiterea de un pachet ACK de ctre sistemul ce efectueaz scanarea.
SYN SYN/ACK ACK

Figura 1.2 - Rezultatul scanrii TCP connect atunci cnd un port este deschis

SYN RST/ACK

Figura 1.3 - Rezultatul scanrii TCP connect atunci cnd un port este nchis

19

Scanarea standard TCP connect este o cale sigur pentru a identifica serviciile de reea accesibile. Dezavantajul este c acest tip de scanare este zgomotos, i este evitat de atacatorii experimentai. 1.4.1.1.2 Scanare SYN semi-deschis (half-open) Aceast metod difer de cea precedent prin trimiterea unui pachet RST (pentru a reseta conexiunea) n cel de-al treilea pas al fazei de stabilire a conexiunii. Deoarece adesea conexiunile nestabilite complet nu sunt jurnalizate de staiile int, atacatorii pot utiliza acest gen de scanare. n figurile de mai jos este prezentat schimbul de pachete ntre 2 sisteme cnd este lansat o scanare de acest tip, att n cazul unui port deschis ct i n cazul portului nchis.
SYN SYN/ACK RST

Figura 1.4 - Rezultatul scanrii half-open SYN flag atunci cnd un port este deschis

SYN RST/ACK

Figura 1.5 - Rezultatul scanrii half-open SYN flag atunci cnd un port este nchis

Scanarea SYN este rapid i sigur, dar necesit privilegii de acces la staiile Windows i Unix. 1.4.1.2 Metode de scanare TCP invizibil Metodele de scanare invizibile implic analiza proceselor ce au loc pe stiva TCP/IP a mainii int i rspunsul la pachetele cu anumii bii setai. Asemenea tehnici nu sunt eficiente la descoperirea porturilor deschise pe anumite sisteme de operare, dar furnizeaz un anumit grad de discreie i uneori nu sunt jurnalizate. 1.4.1.2.1 Scanare invers TCP RFC 793 stabilete c dac un port este nchis pe o staie, atunci trebuie trimis un pachet RST/ACK pentru a reseta conexiunea. Pentru a folosi acest lucru se trimit pachete sond cu diferii bii de stare TCP setai ctre fiecare port al mainii int. Exist trei tipuri de configuraii a biilor de flag, folosite n mod curent [McN07]: Sondare FIN (bitul TCP FIN setat) Sondare XMAS (biii TCP FIN, URG, i PUSH setai) Sondare NULL (fr bii de stare TCP fr flaguri TCP setate; Conform standardul RFC, dac nu este primit nici un rspuns de la portul mainii int, atunci portul este deschis sau staia este inactiv. Pentru toate porturile nchise de pe maina int, sunt recepionate pachete RST/ACK. Totui implementrile stivei TCP/IP

20

pe anumite sisteme de operare (cum sunt cele din familia Microsoft Windows) nu urmeaz complet standardul RFC 793 n acest sens, i deci nu exist rspuns RST/ACK la o ncercare de conectare pe un port nchis. n schimb, aceast tehnic este eficient n cazul sistemelor de operare de tip UNIX. 1.4.1.2.2 Scanare ACK O tehnic mai discret de scanare este cea de a identifica porturile TCP deschise prin trimiterea unui volum de pachete de sondare ACK ctre diferite porturi ale staiei int i analizarea informaiilor din antetul pachetelor RST recepionate.
Volum pachete sondare ACK Volum raspunsuri RST

Figura 1.6 - Pachetele sond ACK sunt trimise la diferite porturi

Exist dou tipuri de tehnici de scanare ACK care implic [McN07]: Analiza cmpului TTL (time-to-live) al pachetelor recepionate - porturile deschise vor fi cele pentru care cmpul TTL este mai mic dect valoarea maxim a TTL din irul de pachete RST recepionate Analiza cmpului WINDOW al pachetelor recepionate porturile deschise vor avea cmpul WINDOW diferit de 0. Avantajul acestui tip de scanare este c detecia sa este foarte dificil, ns datorit faptului c se bazeaz pe particulariti ale implementrii stivei TCP/IP, nu are aplicabilitate larg . 1.4.1.3 Metode de scanare TCP fabricat (spoofed) Aceste metode de scanare permit ca pachetele de sondare s fie trimise prin intermediul staiilor vulnerabile pentru a ascunde adevrata surs care ncearc scanarea reelei. Un important avantaj al acestor metode este c pot permite accesul la configuraia firewalllui prin intermediul staiilor de ncredere, dar care sunt vulnerabile.
Este stabilita o conexiune pe portul FTP de control (TCP21) si este trimisa comanda de atac PORT Server FTP vulnerabil Serverul FTP incearca sa trimita date la portul specificat de pe serverul tinta, returnand un raspuns pozitiv daca portul este deschis

ATACATOR

Host tinta

Figura 1.7 - Scanarea porturilor prin FTP

21

1.4.1.3.1 Scanare FTP Multe servere FTP manipuleaz conexiunile folosind comanda PORT care permite transferul datelor la staia i portul specificat. Dac exist i un director pe care se poate scrie, atunci atacatorul poate introduce o serie de comenzi i alte date ntr-un fiier i apoi le transmite la o anumit staie i port. Spre exemplu cineva poate face upload unui mesaj email spam, pe un server FTP vulnerabil, i apoi mesajul este trimis la portul SMTP al serverului de email int [Nma--]. 1.4.1.3.2 Scanare Proxy Configuraia incorecta a unor staii poate permite utilizarea lor ca ageni n expedierea cererilor de scanare. Deoarece aceast soluie este consumatoare de timp, atacatorii prefer adesea s realizeze atacul asupra intei direct de pe staia proxy. 1.4.1.3.3 Scanare pe baza de sniffer Elementul ce determin eficiena acestui tip de scanare este configurarea interfeei de reea a staiei n modul promiscuous, dup care se ascult rspunsurile pe segmentul de reea. Exista dou mari avantaje ale utilizrii acestei metode de scanare[Ore08]: Daca atacatorul capt privilegii de administrator asupra unei maini din acelai segment de reea cu staia inta, sau cu firewall-ul care protejeaz inta, se pot trimite pachete TCP de la o adresa IP aleatoare din reea pentru a identifica staiile de ncredere i a obine accesul la firewall. Daca atacatorul are acces la un segment mare de reea partajat, poate realiza scanare fabricat n numele staiilor din segmentul respectiv la care nu are acces, sau care nu exist, pentru a scana eficient reele la distan ntr-un mod distribuit i invizibil.
Sunt trimise pachete sonda catre statia zombie si sunt analizate valorile ATACATOR antet IP Pachete TCP SYN sunt trimise porturilor de pe statia tinta, aparand ca fiind transmise de la statia zombie

Statie zombie

Daca portul este deschis, statia tinta trimite un SYN/ ACK catre zombie, care afecteaza valorile antet IP ale pachetelor trimise de atacator

Statie tinta

Figura 1.8 - Scanarea antetului IP i prile implicate

1.4.1.3.4 Scanarea antetului IP Scanarea antetului IP este o tehnic de scanare care implic abuzarea implementrilor stivei TCP/IP n majoritatea sistemelor de operare. Sunt implicate trei staii [Ore08]:

22

Staia zombie care este o main din Internet Staia int care va fi scanat Staia de scanare, sondeaz printr-o secven de pachete staia zombie, iar pe baza modificrilor n numerele de secven ale pachetelor recepionate se poate deduce dac porturile pe staia int sunt deschise

1.4.2 Scanarea porturilor UDP

Deoarece UDP este un protocol fr conexiune, exista doar dou ci de enumerare eficient a serviciilor de reea UDP de-a lungul unei reele IP [Nma--]: Trimiterea pachetelor UDP ctre toate cele 65535 porturi UDP, i apoi ateptarea mesajului ICMP destination port unreachable pentru a identifica porturile UDP care nu sunt accesibile; Folosirea clienilor specifici serviciului UDP (snmpwalk, dig, tftp) pentru a trimite datagrame UDP ctre serviciile de reea UDP int i apoi ateptarea rspunsului pozitiv; n figurile de mai jos sunt prezentate pachetele UDP i rspunsurile ICMP generate de staii cnd porturile sunt deschise sau nchise. Scanarea porturilor UDP este o scanare de tip invers n care porturile deschise nu rspund.
Pachete sondare UDP Fara Raspuns
Atacator Tinta

Figura 1.9 - Rezultatul scanrii inverse UDP cnd un port este deschis

Pachete sondare UDP ICM P Destination Host Unreachable

Atacator Tinta

Figura 1.10 - Rezultatul scanrii inverse UDP cnd un port este nchis

1.5 Atacuri asupra reelelor i sistemelor de calcul

Toate resursele organizaiei (infrastructura de reea, servicii, aplicaii, date, utilizatori) sunt expuse diverselor ameninri din spaiul virtual. n funcie de resursa vizat, atacurile se pot mpri n urmtoarele categorii [PPN06-02]: atacuri asupra infrastructurii (reele i sisteme) - cuprinde atacurile DoS, propagrile epidemice ale viermilor atacuri asupra serviciilor i aplicaiilor - cuprinde infeciile cu malware (virui, viermi, troieni) n scopul distrugerii sau furtului de date, sau prelurii controlului asupra resurselor de pe staiile client.

23

atacuri asupra utilizatorilor - vizeaz exploatarea factorului uman pentru a determina utilizatorul s execute aciuni care contravin procedurilor de securitate (de exemplu, prin rspunderea la mesajele de tip hoax, sau cele comerciale de tip SPAM), sau a induce utilizatorul n eroare asupra identitii transmitorului mesajului n scopul obinerii de informaii confideniale (de exemplu, mesajele de tip phishing)

Figura 1.11 - Ci tipice de atac [OWA11]

1.5.1 Atacuri asupra infrastructurii

Cteva din trsturile Internetlui care creeaz premise pentru atacurile asupra infrastructurii sale de reea sunt [Oik06]: Securitatea n Internet are un grad de interdependen ridicat: Nivelul de susceptibilitate la acest gen de atacuri al oricrui sistem conectat la Internet depinde n mare msur de starea de securitate la nivel global Internet, i nu de nivelul de securitate local. Controlul n Internet este distribuit: Cu un management distribuit i politici locale de funcionare, este foarte greu de implementat un mecanism de securitate la nivel global, iar datorit considerentelor de confidenialitate a datelor, este adesea imposibil de investigat caracteristici de trafic peste mai multe reele. Resurse Internet limitate: Fiecare entitate din Internet (staie, reea, serviciu) are resurse limitate care pot fi consumate relativ rapid n condiiile unui nivel de cereri ridicat. Practic, n absena unei defensive, orice atac DDoS, sau propagarea epidemic a unui vierme va avea succes dac reuete s achiziioneze un numr suficient de staii agent. Puterea celor muli este mai mare dect puterea celor puini: Aciunile simultane i coordonate ale atacatorilor vor avea ctig de cauz dac au resurse mai mari dect victimele. Resursele i sursele de informaii nu se regsesc la aceeai locaie: Paradigma de comunicaie end-to-end a determinat ca majoritatea informaiilor legate de asigurarea serviciului s fie disponibile la nivelul staiilor finale, n timp

24

ce lrgimea de band este o caracteristic a legturii fizice ntre reele. Astfel, atacatorii pot utiliza resursele abundente de band ale reelelor intermediare (de ISP) pentru a trimite mesaje ctre o victim cu o capacitate mai redus. Lipsa unui mecanism de contabilitate: Se presupune c valoarea cmpului adres surs din pachetul IP reprezint valoarea adresei IP a staiei care a generat pachetul. Aceast aseriune nu este validat sau impus n nici un punct al traseului de la surs ctre destinaie, crend premisele de falsificare a adresei surs numit i address spoofing. Aceasta ofer atacatorului posibilitatea de a scpa de rspunderea aciunilor sale, precum i un mijloc de a realiza atacuri mai puternice (vezi DDoS prin reflexie RDDoS, cum ar fi atacul Smurf).

1.5.1.1 Atacuri DoS Atacurile de tip denial of service (DoS) sunt parte integrant din realitatea Internetului de astzi. Obiectivul atacului este de a mpiedica utilizatorii legitimi de a accesa sistemul victim sau resursele reelei. Iniial, atacurile de acest tip au constituit o form de vandalism asupra serviciilor Internet, ns cu timpul au devenit mai rafinate, viznd anumite grupuri de utilizatori. Cteva exemple ilustrative sunt: atacul asupra infrastructurii Estoniei [Naz07-2], atacul asupra site-urilor de socializare (Twitter, Facebook), atacul asupra site-ului Wikileaks [Par10]. n literatura de specialitate, exist mai multe clasificri ale atacurilor DoS n funcie de factori cum ar fi: gradul de automatizare, tipul de vulnerabilitate exploatat, modul de efectuare a atacului, mecanismele de comunicare utilizate de atacatori [Mir02]. Lucrarea de fa prezint dou tipuri de clasificri: dup gradul de indirectare ntre atacator i victim, i dup tipul resurs exploatat. n funcie de gradul de indirectare ntre atacator i victim atacurile DoS se clasific dup cum urmeaz. A. Atacuri DoS directe Atacurile directe sunt forma cea mai simpl de generare a unui atac, prin care atacatorul trimite cereri de serviciu ctre victim cu o frecven foarte mare pentru a-i epuiza unele din resursele cheie (CPU, memorie, band). Aceasta conduce la refuzul de servicii pentru clienii legitimi ai victimei.

Figura 1.12 - Scenariu de atac DoS direct

25

B. Atacuri DoS distribuite (DDoS) Un atac de tip DoS distribuit (DDoS) este un atac coordonat pe scar larg asupra disponibilitii serviciilor oferite de sistemul victim sau resursele reelei lansat indirect prin intermediul mai multor staii Internet compromise. Serviciile atacate sunt cele ale staiei victime primare n timp ce sistemele compromise utilizate n lansarea atacului sunt adesea numite victime secundare. Utilizarea victimelor secundare n desfurarea unui atac DDoS ofer atacatorului posibilitatea de a realiza un atac pe scar mai larg i cu efecte distructive mult mai mari, i face mult mai dificile operaiile de identificare a atacatorului iniial [Mir04]. Un atac DDoS utilizeaz mai multe sisteme n lansarea unui atac DoS coordonat mpotriva uneia sau mai multor inte.

Figura 1.13 - Scenariu de atac DDoS

C. Atacuri DoS bazate pe reflectori (RDoS) Detecia atacurilor poate fi ngreunat prin utilizarea reflectorilor n distribuirea traficului DoS. n esen, agenii nu vor trimite cererile ctre int, ci ctre nite intermediari, numii reflectori. Un reflector este orice staie IP care va rspunde la orice pachet trimis ctre el (un exemplu de reflector este un server web). Dac adresa intei este pus ca adres surs n pachetului trimis de agent ctre reflector, rspunsul reflectorului va fi trimis ctre int. Prin utilizarea acestui mecanism se mrete numrul de indirectri ntre atacator i int, i se realizeaz o dispersie a surselor de atac (orice main accesibil n mod public poate fi utilizat ca reflector), ceea ce ngreuneaz depistarea atacatorului [Pei04].

26

Figura 1.14 - Scenariu de atac RDoS/RDDoS

1.5.1.2 Atacuri DoS asupra reelelor Acestea sunt atacuri simple de efectuat ce consum lrgime de band prin inundare (flooding). Obiectivul atacatorului este de satura legturile de reea pentru a prbui ruter-ele i switch-urile sau inundarea cu trafic peste posibilitile de prelucrare. Din nefericire, uneltele necesare pentru un asemenea atac sunt disponibile pe Internet i chiar utilizatorii fr experien le pot folosi cu succes. Atacurile de inundare copleesc resursele victimei prin volumul lor. Deoarece pachetele de atac pot fi de orice tip, pot avea orice coninut, iar volumul mare de trafic mpiedic o analiz detaliat a traficului, strategia pentru contracararea acestui tip de atac presupune ca detecia i blocarea traficului de atac ct mai aproape de surse, ceea ce implic o conlucrare ntre furnizorii de servicii Internet. A. ICMP Flood Acest atac const din trimiterea unui numr mare de pachete ICMP ctre victim. Aceasta nu poate ine pasul cu volumul de informaie primit i poate observa o degradare a performanei. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K [Har09]. B. Smurf Flood Atacul Smurf este o variant de ICMP flood n care un pachet ICMP_ECHO_REQUEST avnd valoarea adresei surs setat cu adresa staiei int este trimis ctre o adres de broadcast. RFC pentru ICMP specific c nu trebuie generate pachete ICMP_ECHO_REPLY ctre adresele de broadcast, ns multe sisteme de operare i productori de rutere nu au ncorporat aceast cerin implementrile lor. Ca urmare, staia int va primi pachete ICMP_ECHO_REPLY de la toate staiile din reea [Sin10]. Astfel de atacuri sunt numite atacuri cu amplificare sau cu reflexie. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, TFN2K.

27

Figura 1.15 - Scenariu de desfurarea a unui atac de tip Smurf flood

C. UDP Flood (Fraggle) Acest atac este posibil datorit naturii protocolului UDP care nu este orientat pe conexiune. Din moment ce nu este necesar nici un dialog n prealabil, un atacator poate trimite pachete ctre porturi aleatoare ale sistemului vizat. Victima va aloca resurse pentru determinarea aplicaiilor care ascult porturile pe care sosesc date, iar cnd realizeaz c nici o aplicaie nu face acest lucru, va trimite ca rspuns un pachet ICMP. Dac numrul de pachete aleatoare este suficient de mare exist posibilitatea ca sistemul s aib probleme. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: Trinoo, TFN, Stacheldraht, Shaft, TFN2K, Trinity. D. Chargen Acest atac este o variant a atacului de tip UDP Flood i folosete portul 19 (chargen) al unui sistem intermediar folosit ca amplificator. Atacatorul trimite un pachet UDP fals ctre un sistem intermediar care la rndul su rspunde cu un ir de caractere victimei, pe portul su echo. Victima trimite napoi un ecou al irului primit i bucla creat consum rapid banda dintre victim i sistemul intermediar. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K. E. E-mail bombing E-mail bombing nseamn trimiterea unui numr mare de mesaje electronice ctre un server cu scopul de a epuiza spaiul de pe disc i limea de band. Cu excepia atacului UDP, restul se pot evita prin msuri luate la nivelul sistemului de operare. Atacul UDP este dificil de contracarat ntruct exist o multitudine de aplicaii care ascult la o multitudine de porturi. Filtrarea cu ajutorul firewall-urilor ar avea un impact puternic asupra funcionalitii iar acest pre nu l vor plti foarte muli utilizatori. 1.5.1.3 Atacuri DoS asupra sistemelor Acestea sunt atacuri care epuizeaz o resurs cheie a sistemului determinnd fie incapacitatea acestora de a servi corespunztor cererile legitime ale utilizatorilor, fie

28

ntreruperea total a funcionrii sistemului. Atacurile exploateaz vulnerabiliti structurale ale protocoalelor de comunicaie TCP/IP, sau vulnerabiliti ale sistemului de operare, sau aplicaiilor rulate pe staia victim prin trimiterea de pachete avnd un tip sau coninut special. Deoarece vulnerabilitile pot fi exploatate n mod frecvent prin utilizarea unui numr redus de pachete, atacurile de vulnerabilitate au un volum de trafic sczut. Aceste caracteristici (pachet de tip special i volum redus), simplific strategia de tratare atacurilor de vulnerabilitate: detecia pe baz de semnturi a pachetelor speciale, i aplicarea de patch-uri pe sistemul victim. A. TCP SYN Atacul de tip TCP SYN este posibil datorit schimbului de mesaje de la nceputul protocolului TCP. Un client trimite o cerere (SYN) ctre un server, anunndu-i intenia de a porni o conversaie. La rndul su, serverul desemneaz o intrare n tabela cu conexiuni pe jumtate deschise i trimite napoi un mesaj de acceptare (SYN,ACK), semnaliznd astfel disponibilitatea sa. n acest moment clientul trebuie s rspund cu un pachet SYN-ACK ACK pentru a putea ncepe comunicaia de fapt. Un atacator ar putea s nu trimit niciodat aceast confirmare, cauznd umplerea tabelei de conexiuni, cererile legitime ulterioare fiind astfel blocate [Sin10].. Implementri ale acestui tip de atac se gsesc n urmtoarele unelte DDoS: TFN, Stacheldraht, Shaft, TFN2K, Trinity.

Figura 1.16 - Schimbul normal de mesaje n crearea unei conexiuni TCP (a). Atacul de tip TCP SYN (b)

B. PUSH-ACK Conform protocolului TCP, pentru a minimiza activitile auxiliare asociate transferului de date, segmentele TCP sunt pstrate n stiva TCP i trimise ctre destinaie cnd stiva se umple. Totui, prin trimiterea unei cereri cu bitul PUSH=1, se poate fora receptorul s descarce coninutul stivei nainte ca aceasta s se umple. Atacatorul poate exploata aceast potenial vulnerabilitate de protocol prin trimiterea de pachete PUSH, care este posibil s genereze probleme chiar n condiiile de ncrcare de trafic moderat [McN07]. Implementarea unui astfel de atac se regsete n uneltele DDoS mstream i Trinity. 29

C. Shrew Pin exploatarea gradului de determinism i de omogenitate din implementarea mecanismului de evitare a congestiei TCP/IP, atacul urmrete crearea de ntreruperi periodice i de scurt durat cu scopul de a sincroniza strile fluxurilor TCP i de a fora protocolul s intre repetat n starea transmission timeout. Efectul resimit de utilizatorii legitimi va fi un atac DoS, dar realizat cu un volum de trafic foarte mic, neobservabil de ctre mecanismele de detecie pentru atacurile DoS clasice.

Figura 1.17 - Modul de operare al unui atac de tip Shrew

I ~ RTT (timpul dus-ntors al unui pachet n reea) T ~ min(RTO) unde RTO (retransmission timeout) este timpul de ateptare pentru retransmiterea segmentului TCP.

Conform [RFC 2998], RTO se definete pe baza formulei RTO=SRTT+4*RTTVAR unde, SRTT (smoothed round-trip time) este media RTT, iar RTTVAR (round-trip time variation) este dispersia RTT. Experimentele au artat c aceste tipuri de atac poate genera o pierdere aproximativ a throughputlui de 87.8% pn s fie detectate. O posibil soluionare ar fi ca protocolul s aleag ntre manier nedeterminist minRTO [Sun08]. D. Ping of Death Acest atac const n trimiterea unui pachet ICMP mult mai mare dect pachetul maxim IP, i anume 64 KBytes. La destinaie, unele implementri nu pot decodifica pachetul, cauznd prbuirea sau reboot-ul sistemului. Vulnerabiliti n implementrile stivei TCP/IP ale sistemelor Windows timpurii, sau ale aplicaiilor (un caz recent fiind vulnerabilitatea MS11-057 n Internet Explorer 9) pot favoriza condiii pentru acest gen de atac [MS11-01]. ce predispuneau la astfel de atac au fost documentate n acest gen de atac au fost adresate in IE9 probleme recente au fost gsit E. Teardrop Datorit implementrii defectuoase, unele sisteme nu pot asambla fragmente de pachete care au deplasamente eronate. n loc s ignore elegant aceste pachete, aceste implementri blocheaz sau reboot-eaz sistemul. O implementare a acestui tip de atac se regsete n unealta DDoS Trinity.

30

F. Land Unele implementri TCP/IP cauzeaz blocarea sistemului cnd primesc pachete avnd aceeai adresa ca surs i destinaie. G. WinNuke Acest tip de atac este specific sistemelor de operare Windows. Atacatorul trimite date aleatoare la un port anume, ceea ce cauzeaz blocarea sau reboot-ul sistemului. 1.5.1.4 Atacuri pe baz de viermi n accepiunea clasic, un vierme este un agent infecios autonom cu replicare independent, capabil de a identifica noi victime (inte) i a le infecta prin intermediul reelei. [Sta02] Cu timpul, denumirea de vierme a fost extins i asupra altor categorii de ageni infecioi care, pentru a fi activai, necesit o aciune tipic, simpl pe care utilizatorul o execut n mod frecvent n interaciunea cu spaiul virtual (citirea email, utilizarea mediilor externe USB, etc.). Aceast extindere are la baz faptul c tehnologia este utilizat pe scar larg i n mod cvasi-permanent, ceea ce face ca activitile frecvente i probabile ale utilizatorilor s determine o rat de propagare acceptabil pentru atacator. Motivele care stau la baza proliferrii atacurilor bazate pe viermi sunt urmtoarele [Naz07-1]: Conveniena oferit de gradul nalt de automatizare n descoperirea intelor vulnerabile; Viteza de penetrare datorat auto-propagrii; Persistena - practica a artat cazuri de infectri cu Conficker chiar dup luni de zile de la lansarea lor, n ciuda faptului c patch-urile erau disponibile de o bun perioad de timp [Por09]; Acoperirea - majoritatea cazurilor precedente au artat o infectare la nivel global a Internetlui. Procesul de livrarea a agenilor infecioi pe sistemele victim a evoluat n mod deosibit de-a lungul anilor. O schimbare major o reprezint utilizarea mai multor vectori de propagare. Dac spre exemplu Slammer [MOO03] a utilizat o singur vulnerabilitate pentru a se propaga, Stuxnet [Mat11] a utilizat tehnici multiple pentru propagarea sa (memorii externe USB, exploatarea a 4 vulnerabiliti nepublicate i a dou existente folosite n propagarea altor viermi precum Conficker [Por09]). 1.5.1.4.1 Structura viermelui Structura unui vierme prezint urmtoarele categorii de componente de baz [Naz03]: Recunoaterea (sau scanarea) Aceast component este responsabil pentru descoperirea staiilor din reea care pot fi compromise prin metode cunoscute de vierme. Atac - Acesta este utilizat pentru a lansa atacuri mpotriva unui sistem int identificat valorificnd vulnerabiliti de tip: buffer overflow, string formatting, interpretri eronate ale Unicode, sau configuraii greite. 31

Comunicaie - Nodurile din reeaua de staii infectate pot comunica ntre ele. Aceast component ofer viermelui interfaa prin care pot fi trimise mesaje ntre noduri sau ctre o locaie central. Comand De ndat ce o staie este compromis, viermele poate rula comenzi operaionale utiliznd aceast component. Elementul de comand furnizeaz interfaa prin care un nod din reeaua de staii infectate poate genera sau primi comenzi. Culegere de informaii ofer informaiile necesare pentru a putea contacta alte noduri infectate ale reelei de staii controlate de vierme.

Fenotipul, sau comportamentul observabil al viermelui, este discutat n adesea n contextul celor mai vizibile componente: cea de scanare i cea de atac. Aceste dou componente sunt necesare n orice implementare de vierme care se propag pe scar larg, n timp ce toate celelalte componente sunt opionale. Prin utilizarea i a celorlalte trei componente, se poate conferi viermelui capaciti sporite cum ar fi: generarea de atacuri distribuite de tip DDoS, monitorizarea activitii la tastatur, sau controlul staiei compromise (BotNet) [Bot11]. 1.5.1.4.2 Identificarea intelor n funcie de strategia folosit pentru aflarea intelor se identific urmtoarele tipuri de scanri [PPN05-01]: Scanarea uniform cnd un vierme nu posed cunotine despre localizarea staiilor vulnerabile n Internet, cea mai simpl soluie este de a scana aleator ntregul spaiu de adrese pentru a gsi victime. Aceast strategie de scanare a fost folosit de viermi precum Code Red, Slammer, Conficker, Witty, Sasser [Moo03] [Fse04-2][PPN05-03]. Scanare de tip list int (hit list) este tipul de vierme care posed o list cu adrese IP ale anumitor staii vulnerabile din Internet. Un astfel de vierme scaneaz i infecteaz mai nti toate staiile vulnerabile definite n hit-list, iar apoi scaneaz aleator ntregul spaiu Internet pentru a infecta i alte staii vulnerabile. Acesta este doar un model teoretic, neexistnd o implementare practic pn n acest moment. [Zou03] Scanare topologic - se bazeaz pe adresele identificate pe staia victim pentru a determina noile inte de scanare. Un exemplu n acest caz l constituie primul vierme propagat n mas Morris. Scanare metaserver informaia de identificare a staiilor int este obinut prin interogarea altor sisteme sau aplicaii. Viermele Santy a utilizat Google pentru a identifica serverele web care rulau phpBB [Fse04-1] Scanare pasiv se ateapt ca poteniale victime s contacteze sursa de scanare. Foarte greu de depistat. O implementare de acest tip a fost viermele Gnuman care opera ca nod Gnutella [Smi09] Scanarea de tip divide-et-impera - un vierme cu scanare uniform poate utiliza o strategie de tip divide-et-impera astfel nct staiile infectate vor scana i infecta staii vulnerabile localizate n spaii de adrese IP diferite Scanarea de tip preferin local urmrete scanarea adreselor IP din vecintatea propriei adrese cu o probabilitate mai mare dect adresele dintr-un spaiu mult mai ndeprtat. n cazul n care viermele are dificulti n a scana o

32

reea aflat n spatele unui firewall, dar se aduce o staie infectat n zona protejat de firewall, acest tip de scanare va permite compromiterea rapid a tuturor staiilor vulnerabile din acea reea local. Un astfel de tip de scanare a fost utilizat de viermi precum Code Red 2, i Nimda [Che03] Scanarea secvenial - odat ce o staie vulnerabil este infectat, viermele selecteaz mai nti o adres IP de la care va ncepe o scanare secvenial. Blaster este un exemplu tipic de vierme care a utilizat aceast scanare Scanarea direcionat se utilizeaz n realizarea de atacuri selective n care obiectivul atacatorului este scanarea i infectarea staiilor din domeniul int. n acest sens, de interes pentru atacator este de propagare a viermelui n domeniul int, i nu de numrul de staii vulnerabile care sunt infectate n Internet. Un exemplu de vierme ce utilizeaz aceast scanare n anumite faze ale propagrii sale este Stuxnet [Mat11]

1.5.1.4.3 Evaluarea strategiilor de scanare Analiza impactului strategiilor de scanare asupra modului de propagare arat c [PPN05-01]: Scanarea de tip preferin local sporete viteza de propagare a viermelui cnd staiile vulnerabile nu sunt uniform distribuite. Probabilitatea optim pentru scanarea de tip preferin local crete cnd scanarea local este aplicat n subreele mari. Cnd staiile vulnerabile sunt uniform distribuite, scanrile de tip divide-etimpera, cea secvenial i cea uniform, sunt echivalente n ceea ce privete numrul total de staii infectate n orice moment. Utilizarea preferinei locale n selectarea punctului de start al unei scanri secveniale determin o scdere a vitezei de propagare a viermelui. n cazul n care densitatea de staii vulnerabile n domeniul int (raportul dintre numrul de staii vulnerabile i cel al adreselor IP din domeniu) este mai mare dect alte domenii, atunci folosirea unei scanri direcionate va crete viteza de propagare pe domeniul int fa de o scanare uniform. Pe baza acestor rezultate, este important ca n proiectarea sistemelor defensive s se caute prevenirea atacatorului de la identificarea unui numr mare de adrese IP de staii vulnerabile, sau obinerea unor informaii legate de spaiul de adrese alocat sau utilizat, care s permit reducerea spaiului de scanare [PPN05-03]. Un sistem de monitorizare i protecie mpotriva atacurilor lansate de viermi, trebuie s acopere un numr de blocuri de adrese IP suficient distribuite, pentru a avea o imagine corect a modului de propagare a viermilor ce folosesc o scanare neuniform (n special n cazul unei scanri secveniale ca cea folosit de Blaster). 1.5.1.4.4 Tehnici anti-detecie ale viermilor Pentru ca un vierme s afecteze o populaie ct mai mare, atacatorii au la dispoziie dou opiuni [PPN05-01]: Utilizarea unei strategii n care propagarea n faza iniial s fie mai rapid dect timpul necesar pentru generarea semnturilor pentru firewall-uri, menite s

33

limiteze propagarea (cum a fost cazul propagrilor Core Red, Conficker, Witty, Sasser). Utilizarea de tehnici care s asigure o vizibilitate redus pentru a evita detecia pe o perioad ct mai ndelungat (cum a fost cazul propagrii Stuxnet) [Mat11]. Aceast vizibilitate redus poate fi obinut prin tehnici cum ar fi: scanarea lent - marea majoritate a soluiilor de detecie a propagrii utilizate de furnizorii Internet vizeaz protecia mpotriva propagrilor epidemice, astfel c mecanismul de monitorizare al organizaiei int va trebui s fie capabil s detecteze astfel de situaii. polimorfism i criptare vizeaz auto modificarea sau criptarea pentru a evita detectoarele bazate pe semntur amestecarea schimbarea comportamentului cnd trece prin zona sistemelor IDS prezentnd caracteristici similare traficului curent, sau comportament normal DoS asupra sistemelor IDS sau asupra personalului de securitate se realizeaz prin producerea de trafic de diversiune pentru suprancrcarea IDS (forarea acestuia s genereze semnturi inutile, s nvee noi atacuri), i a personalului de securitate (care s analizeze un volum mare de alerte caracterizare un grad ridicat de confuzie).

1.5.2 Atacuri asupra aplicaiilor i serviciilor

Dac, atacurile iniiale n sisteme vizau cu precdere exploatarea unor vulnerabiliti cunoscute n sisteme de operare, protocoale de comunicaie sau serviciile de reea clasice, n ultima perioad se observ o specializare a atacatorilor i creatorilor de malware, ce dezvolt n mod constant metode noi i ingenioase pentru a neutraliza mbuntirile aduse securitii sistemelor actuale. Atacurile din aceast categorie exploateaz vulnerabiliti ale sistemului de operare, sau ale aplicaiilor rulate pe staia victim cu scopul de a prelua controlul asupra serviciilor, sau compromite integritatea i confidenialitatea datelor procesate. Majoritatea vulnerabilitilor ce creeaz premisele unor astfel de atacuri sunt cele de tip buffer-overflow, i cele de proiectare a aplicaiilor (insuficiene n definirea i implementarea mecanismelor de autentificare, autorizare, i manipularea datelor). Atacurile asupra aplicaiilor au cunoscut o cretere deosebit n ultima perioad. Un raport publicat de HP n 2010 estimeaz c aproximativ 70% din totalul atacurilor sunt ndreptate asupra aplicaiilor Web [SEC11]. Cele mai importante tipuri de atac asupra aplicaiilor Web sunt :[OWA11] Atacurile Cross Site Scripting (XSS) - au loc cnd serverul preia datele de la utilizator i le trimite napoi browserului, fr ca acestea s fie validate. XSS permite atacatorilor s redirecioneze paginile victimei, s execute scripturi n browserul victimei, acetia putnd ulterior s intercepteze sesiuni de utilizator, s introduc viermi, etc. Erori de injectare (Injection Flaws) - n special injecia de tip SQL, sunt comune n aplicaiile web. Injectarea se produce atunci cnd datele furnizate de utilizator sunt trimise la un interpret ca parte a unei comenzi sau a unei interogri. Atacatorul pclete interpretorul determinndu-l s execute comenzi sau schimbarea de date n mod eronat.

34

Execuia maliioas a fiierelor - Codul vulnerabil la includerea extern a fiierelor (Remote File Inclusion) permite atacatorilor s includ cod i date ostile, rezultnd atacuri devastatoare. Execuia maliioas a fiierelor afecteaz scripturile PHP, XML i orice cadru (Framework) care accepta fiiere (sau nume de fiiere) de la utilizator. Expunerea referinelor directe - O referin direct la un obiect are loc atunci cnd un dezvoltator expune o referin la un obiect intern cum ar fi un fiier, director, record de baze de date, sau cheie, un URL sau parametru dintr-un form. Atacatorii pot manipula aceste referine pentru a accesa alte obiecte fr autorizaie. Cross Site Request Forgery (CSRF) - Un atac CSRF foreaz browser-ul victimei autentificate deja s trimit o cerere de pre-autentificate la o aplicaie web vulnerabil, care apoi foreaz browserul victimei s efectueze o aciune n beneficiul atacatorului. Scurgerile de informaii i manipularea incorect a erorilor - Aplicaiile pot oferi, fr a se dori, informaii despre configurare, modul intern de lucru, etc. Atacatorii pot folosi aceste informaii pentru a sustrage date de pe serverul n cauz, sau pentru a lansa atacuri mai importante. Compromiterea autentificrii i a managementului sesiunii - Conturile i sesiunile sunt de multe ori protejate insuficient. Atacatorii pot compromite parole, chei, sau sesiuni pentru a-i asuma identitatea altor utilizatori. Stocarea nesigur a datelor criptografice - Aplicaiile web folosesc rar funciile criptografice n mod corespunztor pentru a proteja datele i conturile. Atacatorii folosesc datele slab protejate pentru furt de identitate i alte infraciuni, cum ar fi fraudarea crilor de credit. Comunicaii nesecurizate - n mod frecvent aplicaiile nu cripteaz traficul din reea pentru a proteja transferul de date cu grad de confidenialitate sporit. Aceasta deschide posibilitatea ca sesiunea sa fie interceptata (cu ajutorul unui sniffer de exemplu). Imposibilitatea de a restriciona accesul URL - Frecvent, o aplicaie protejeaz anumite date sau funcionare ce se dorete a fi secret doar prin prevenirea afirii de link-uri sau URL-uri pentru accesul utilizatorilor neautorizai. Atacatorii pot utiliza aceast slbiciune pentru a accesa i de a efectua operaiuni neautorizate prin accesarea acelor adrese URL n mod direct.

1.5.3 Atacuri asupra utilizatorilor

Ingineria social poate implica trucuri att psihologice ct i tehnologice pentru a ctiga ncrederea intei. Din perspectiva psihologic, atacatorul poate exploata cteva caracteristici ale comportamentului uman pentru a crete ansele ca victima s execute aciunile dorite de atacator. Unele trsturi de comportament ce pot fi exploatate de atacatori sunt: dorina de conformitate, dorina de a fi de ajutor, lipsa de experien, curiozitatea. Aceste trsturi de comportament sunt adesea exploatate de atacurile de tip phishing prin utilizarea de tehnici de nelciune. Dintre trucurile de ordin tehnic utilizate de atacuri precum Phishing-ul sau cele bazate pe malware se menioneaz: imitarea adreselor de email, mascarea URL-urilor frauduloase, clonarea site-urilor. Pentru a exploata ignorana utilizatorilor cu privire la modul de funcionare a tehnologiilor de protecie, site-urile clon prezint indicatori de

35

securitate fictivi (icoana specific conexiunii criptate), sigle ale autoritilor de certificare precum Verisign. n paragraful urmtor se vor descrie scheme tipice de atac pe baz de mesaje de pot, al cror obiectiv este n principal determinarea utilizatorului de a executa aciunea dorit de atacator.

1.5.4 Scheme tipice de atacuri pe baz de mesaje de pot

Schemele prezentate n continuare conin paii urmai att de atacator ct i de victim pentru ca atacul s se ncheie cu succes. Schemele arat i modul n care tehnologiile disponibile la ora actual pot fi utilizate pentru a reduce vulnerabilitatea la diferitele clase de atacuri. Resursele sau condiiile pe care atacatorul ncearc s le obin sunt reprezentate prin dreptunghiuri, iar aciunile atacatorului i victimei sunt prezentate prin sgei. Cazul n care atacul este anihilat se reprezint prin starea Atacul eueaz, iar n cazul n care se materializeaz, starea final este colorat distinctiv. Datorit dimensiunii i complexitii schemei de atac, aceasta a fost mprit n patru seciuni (1.18-1.21). Prima seciune (1.18) cuprinde fazele de atac comune tuturor vectorilor de atac. Fiecare din vectorii de atac (ce vizeaz cu precdere atacurile asupra sistemelor client i utilizatorilor) sunt prezentai n diagrame separate. Aceti vectori de atac sunt [PPN06-02]: Instalarea de software maliios. Software-ul maliios este categoria de cod instalat n sistem, de regul fr tirea utilizatorului, i cu intenia de a compromite confidenialitatea, integritatea sau disponibilitatea datelor, aplicaiilor sau sistemului de operare de pe staia victim. Inducerea n eroare a utilizatorului ce recepioneaz mesajul pentru a urma anumite instruciuni. Utilizarea de spyware pentru a intercepta comunicaiile legitime ale victimei. Spyware-ul este categoria de software care colecteaz n secret informaii despre activitatea utilizatorului (conturi i parole tastate, adrese web vizitate, etc.) care apoi sunt transmise n exterior. Atacurile ncep cu un mesaj destinat victimei (utilizator, sau server de pot). Atacatorul obine adresele de pot utiliznd o varietate de surse i tehnici (generare semialeatoare, explorarea Internetului, liste de adrese, atacuri DHA anterioare, etc.). Mesajele ce vizeaz atacuri asupra infrastructurii sunt construite astfel nct s exploateze vulnerabiliti ale SMTP, sistemelor de operare i configuraiei sistemelor client i server. Mesajele de atac ce vizeaz utilizatorul sunt construite astfel nct receptorul s cread c ar putea fi legitime i trebuie deschise. O configurare corespunztoare a aplicaiei server de pot, a sistemului de operare pe server i a infrastructurii de protecie (firewall) poate bloca cea mai mare parte a atacurilor de tip DoS i DHA. Filtrarea conexiunilor SMTP poate asigura controlul asupra ncercrilor de inundare cu mesaje prin limitarea ratei de trimitere ctre server per transmitor. n mod asemntor, filtrarea de coninut (antispam) poate bloca o mare parte a mesajelor nelegitime. Odat ce mesajul este deschis de utilizator, coninutul su trebuie s fie ndeajuns de realistic pentru a determina receptorul s execute paii dorii de atacator.

36

Start
Ghiciere adres
(Atac de tip dicionar)

Explorarea Usenet i web pentru adrese

Utilizatorul ofer adresa n scop legitim unei entiti; Destinatarul ns o d spre folosire i altora

Scurgeri de informaii din interior sau de la furnizorul de servicii Internet (FSI)

Atacatorul are adresa de pot electronic

Conturi ieftine achiziionate de la diveri FSI n scopul trimiterii unor mesaje spam

Folosind conturi uzuale la un FSI (furnizor sevicii Internet)

Trimite prin servere incorect configurate (relee deschise)

Trimite prin serverul de pot (sau motor SMTP) al atacatorului

Mesaj e-mail trimis ctre organizaie

Mesaj trimis ctre filtrul antispam Nu exist filtrare antispam

Filtrul spam proceseaz mesajul e-mail

Mesaj atac nedetectat datorit unor tehnici de evitare a filtrrii n mesaj, reguli neactualizate pentru filtru sau dezactivrii fitrrii de ctre virus Mesajul maliios este detectatt dar decizia invalidat de utilizator Mesajul maliios detectat i ters

Mesaj e-mail trimis ctre programul client de pot

Mesajul are o adres surs legitim Mesajul are o adres surs plauzibil

Atacul eueaz

Utilizatorul ncearc s deschid e-mail-ul cu adres legitim

Utilizatorul terge e-mail dup euarea validrii

Utilizatorul ncearc s deschid e-mail-ul cu adres frauduloas

Nu exist capabilitatea de validare a sursei Validarea sursei eueaz Utilizatprul ignor atenionarea

Validarea sursei eueaz Utilizatorul ignor mesajul

Nu exist capabilitatea de validare a sursei

Utilizatorul ignor euarea validrii

Atacul eueaz

Atacul eueaz

Mesajul e-mail este afiat utilizatorului

Atacatorul folosete cod ce exploateaz o vulnerabilitate pentru a determina executarea unui fiier ataat fr vreo aciune a utilizatorului (vierme)
Atacatorul utilizeaz spyware plasat anterior i insereaz o adres legitim Atacatorul utilizeaz o adres plauzibil ca destinaie a informaiei confideniale

Atacatorul exploateaz o vulnerabilitate

Utilizatorul crede c e-mail-ul este legitim

Atacatorul folosete inducerea n eroare Atacatorul folosete spyware

Atacatorul folosete un troian

(A1) Vierme

(A) Troian

(B) nelciune

(C) Spionare

Figura 1.18 - Metode comune de atac folosind mesajele e-mail

37

(A) Utilizatorul crede c e-mail-ul este legitim

(A1) E-mail-ul este afiat utilizatorului

Utlizatorul deschide fiierul executabil ataat cu software antivirus

Fiierul executabil ataat este scanat antivirus

Troian detectat i ters

Utlizatorul deschide fiierul executabil ataat fr software antivirus

Atacatorul folosete un cod ce exploateaz o vulnerabilitate pentru a determina executarea unui fisier atasat (vierme) fr vreo actiune a utilizatorului

Troian detectat. Utilizatorul ignor atenionarea

Troianul nu este detectat

Atacul eueaz

Atacatorul controleaz calculatorul utilizatorului

Troianul/Virmele captureaz fiiere senzitive, date de intare ale utilizatorului (parole) sau comunicaii n reea

Troianul/Viermele deine informaii senzitive din calculatorul utilizatorului

Fr host IDS. Troianul/viermele transmit datele prin aplicaie

Fr host IDS. Troianul/viermele deschide conexiunile (socket)

Hostul IDS monitorizeaz comportamentul aplicaiei

Hostul IDS eueaz n detectarea comunicaiei maliioase Hostul IDS blocheaz comunicaia

Fr firewall sau host IDS. Informaia senzitiv este transmis atacatorului prin reea

Firewall-ul personal recepioneaz toate trasmnisiile de date

Aplicaia transmite date senzitive atacatorului Firewall alerteaz utilizatorul s nu permit comunicaia. Utilizatorul permite comunicaia

Firewall blocheaz comunicaia

Atacul eueaz

Atacatorul obine informaia senzitiv a utilizatorului

Figura 1.19 - Tipuri de atacuri ale viermilor i troienilor

38

(B) Utilizatorul crede c e-mail-ul este legitim

Utilizatorul viziteaz site-ul HTTP al atacatorului

Utilizatorul viziteaz site-ul HTTP al atacatorului

Utilizatorul completeaz formularul

Atacatorul afieaz utilizatorului un site web nesecurizat

Browser-ul ateapt s valideze certificatul site-ului

Utilizatorul rspunde prin e-mail transmind date senzitive

Site-ul web apare ca legitim. Utilizatorul completeaz formularul n pagina web

Site-ul utilizatorului are un certificat valid

Browser-ul detecteaz un certificat invalid. Utilizatorul ignor avertismentul

Browser-ul eueaz n detectarea certificatului invalid

Certificatul site-ului atacatorului este invalid. Utilizatorul ia n considerare avertismentul

Atacul eueaz

Browser-ul iniiaz transmiterea datelor

Serviciul privat de protecie avertizeaz utilizatorul despre transmiterea de date senzitive. Utilizatorul ntrerupe transmiterea datelor

Site-ul web securizat al atacatorului este afiat utilizatorului

Fr serviciu privat de protecie

Site-ul web apare ca legitim. Utilizatorul completeaz formularul n pagina web.

Atacul eueaz

Atacatorul obine informaia senzitiv a utilizatorului

Figura 1.20 - Atacatorul neal pentru a obine ncrederea utilizatorului

39

Figura 1.19 descrie continuarea secvenelor de atac din figura 1.18 prin transmiterea unui fiier ataat ce prezint n aparen elemente de utilitate pentru victim (cum ar fi: imagini, screen saver, vedere electronic, etc.), dar care instaleaz cod maliios n scopul prelurii controlului asupra sistemului victimei. Sistemele antivirus i IDS locale joac un rol important n blocarea multora din aceste scenarii de atac. Figura 1.20 prezint continuarea secvenei de atac din figura 1.18 ce se bazeaz exclusiv pe nelarea ncrederii utilizatorului. Singura vulnerabilitate vizat de acest tip de atac este cea uman. Atacatorul mizeaz pe legea probabilistic a numerelor mari trimind mesajul la un numr mare de utilizatori n speran c un numr din acetia vor fi convini de legitimitatea acestuia i vor urma direciile dorite de atacator. n cazul n care atacatorul folosete HTTPS, SSL (Secure Socket Layer) ofer protecie doar dac utilizatorul ia n considerare avertismentul asupra invaliditii certificatului. Aplicaiile comerciale ce ofer servicii private de protecie, pot fi de ajutor prin avertizarea utilizatorului cnd acesta este pe punctul de a trimite informaii confideniale ctre destinaii ndoielnice.

Figura 1.21 Atacuri pe baz de spyware pentru culegere de informaii

40

Figura 1.21 arat modul n care atacatorul poate obine informaii confideniale despre victim i activitile acesteia prin instalarea de aplicaii de tip spyware pe maina victimei. Aceasta poate fi realizat prin intermediul unui atac prealabil cu Troian sau vierme, sau alte mijloace. Acest tip de software poate fi adesea detectat de programe anti-spyware specializate, ct i de multe din programele antivirus comerciale. n plus, aplicaiile locale de tip firewall i IDS pot adesea preveni programul spyware s transmit informaii confideniale n exteriorul sistemului.

1.5.5 Metodologii de clasificare a atacurilor

Clasificarea atacurilor n spaiul virtual se poate face dup mai multe criterii cum ar fi: modul de desfurare, vulnerabilitatea exploatat, obiectivul atacului, motivaia atacatorului, impactul i implicaiile atacului, resursa atacat, elementele de securitate afectate. [Kja05] [Han05] [Sim10] Plecnd de la taxonomia prezentat in figura 1.22 [Sim10], se propune ca n procesul de evaluare i analiz a noilor ameninri s se utilizeze un model de clasificare ce ncorporeaz i un atribut specific monitorizrii securitii. Acesta va indica zona n care intruziunea se va putea detecta (n cazul n care mecanismul de protec ie eueaz), precum i procesele conexe cadrului de securitate necesare pentru implementarea mecanismului defensiv (de exemplu: managementul patch-urilor). O abordare formal are rolul de a oferi o perspectiv consistent care ia n calcul toate aspectele de interes ale organizaiei. O exemplificare a utilizrii modelului propus pentru evaluarea atacurilor este ilustrat n tabelul 1.2. Organizaiile cu cerine speciale de securitate (armat, servicii secrete, corporaii, etc) care doresc o caracterizare mai detaliat a atacurilor, pot construi un cadru formal de modelare a ameninrilor plecnd de la structurile de VerIS descrise n seciunea 2.4.5.
ID Grup 100 Nume Conficker A Vector Buffer Overflow Impact Operaional Instalare vierme Impact Informaie ntrerupere inta SO Windows (Server, XP) Mecanism Defensiv Soluie temporar: Buletin furnizor Remediere: Patch Zona Monitorizare IDS Reea (NIDS) Control Management Patch IDS Staie (HIDS) Control Management Patch IDS Reea (NIDS) Control Management Patch

100

Conficker B

USB

Instalare vierme

ntrerupere

SO Windows (Server, XP)

Soluie temporar: Buletin furnizor Remediere: Patch Soluie temporar: Buletin furnizor Remediere: Patch

100

Conficker B

Buffer Overflow

Instalare vierme

ntrerupere

SO Windows (Server, XP)

Tabel 1.2 Model de evaluarea a atacurilor

41

Figura 1.22 - Clase de atacuri [Sim10]

1.6 Componenta de monitorizare i procesul de securitate

1.6.1 Indicatori i avertismente
Manualul armatei americane [USA95] definete indicatorii i avertismentele (IA) ca fiind monitorizarea strategic a evenimentelor mondiale pe plan militar, economic i politic pentru a asigura c acestea nu reprezint un precursor ctre activiti ostile sau contrare intereselor USA. Aadar IA este procesul de monitorizare strategic care analizeaz indicatori i produce avertismente. 42

Dup cum se poate observa, n accepiunea clasic IA este orientat ctre ameninri. n acest context se definete monitorizarea securitii ca fiind procesul de colectare, analiz i investigare a indicatorilor i avertismentelor pentru detecia i rspunsul la intruziuni (violri ale politicii de securitate) [PPN06-01]. Cu timpul, pentru eficientizarea procesului de monitorizare i pentru determinarea strii de securitate de ansamblu la nivelul ntregii organizaii, scopul monitorizrii a fost extins i asupra categoriilor de date asociate altor concepte de securitate cum ar fi vulnerabiliti, ageni de ameninare, controale de securitate, etc [PPN07-01]. Pe baza acestei abordri, se definete IA de natur digital n accepiune extins ca fiind monitorizarea strategic informaiilor disponibile la nivelul resurselor interne (trafic de reea, fiiere log de pe sisteme, activitate utilizatori, etc.) ct i externe (buletine de securitate, starea general de securitate, studii de cercetare asupra noilor clase de ameninri) pentru a adresa ntr-o manier proactiv i anticipativ riscurile i ameninrile la adresa organizaiei. Indicatorii se pot defini ca fiind aciuni observabile sau percepute care confirm sau neag inteniile i capabilitile agenilor de ameninare. n domeniul monitorizrii securitii, indicatorii sunt adesea concluziile oferite de produsele securitate, cum ar fi alertele generate de sistemele IDS. Avertismentele sunt rezultatul interpretrii de ctre analistul de securitate a indicatorilor. Analitii evalueaz indicatorii generai de produsele de securitate i transmit avertismente ctre factorii de decizie [PPN07-01]. n domeniul monitorizrii securitii, sunt elemente distincte, responsabile pentru colectarea i interpretarea indicatorilor, precum i transmiterea avertismentelor ctre factorii de decizie, i anume: Produsele efectueaz colectarea. Un produs este o component software sau hardware al crei scop este de a analiza pachetele din reea. Oamenii efectueaz interpretarea. n timp ce produsele pot oferii concluzii preliminare despre starea de securitate, oamenii sunt necesari pentru a oferi contextul. Determinarea contextului necesit plasarea rezultatelor oferite de produs ntr-o perspectiv adecvat, dat de natura mediului n care produsul opereaz. Procesele determin transmiterea informaiei ctre factorii de decizie. Factorii de decizie sunt persoanele care au autoritatea, responsabilitatea i capabilitatea de a rspunde la potenialele incidente.
Date disponibile (surse eterogene) Date Structurate I&W (Indicatori i Avertismente) Rspuns la incident

Colectare

Identificare

Evenimente

Validare

Notificare

Figura 1.23 Proces generic de monitorizare a securitii

43

1.6.2 Procesul de securitate

Mitch Kabay, fost director al departamentului de educaie din cadrul International Computer Security Association, meniona n 1998 c securitatea este un proces de meninere a unui nivel acceptabil de risc perceput, i nu o stare final [Kab98]. Evaluare
Politici de securitate Proceduri Legi i reglementri Practici consacrate nvminte post-incident

Protecia
Securizare Infrastructur Mecanisme criptografice Management patch-uri Management configuraii Controlul Accesului

Rspuns
Validare incidentului Izolare incident Eradicare Incident Refacere post-incident Investigaii post incident

Proces Securitate

Detecie
Colectare Identificare

Figura 1.24 Procesul de securitate pe baza BS7799-2/ISO27001 [ISO--]

Procesul de securitate cuprinde urmtoarele patru mari componente: evaluarea, protecia, detecia i rspunsul [BPN09]. Evaluarea reprezint pregtirea pentru celelalte trei componente. Este menionat ca o component separat deoarece vizeaz n principal politici, proceduri, legi, regulamente, aspecte bugetare, atribuii manageriale, precum i evaluarea tehnic a propriei posturi de securitate. Euarea n a cuprinde unul din aceste elemente va afecta operaiile ulterioare. Evaluarea presupune stabilirea controalelor de securitate pentru limitarea riscurilor organizaiei. Protecia reprezint aplicarea contramsurilor pentru a reduce probabilitatea de compromitere. Un alt termen echivalent n literatura de specialitate este prevenirea, dei realitatea a dovedit c prevenirea poate eua. Monitorizarea securitii nu este o component activ a strategiei de control a accesului, ns o bun prevenire contribuie la realizarea unui monitorizri mult mai eficace. Detecia reprezint procesul de identificare a intruziunilor (violri ale politicii de securitate) sau a incidentelor de securitate. Elemente ale procesului de monitorizare, cum ar fi colectarea i identificarea, se vor regsi n aceast component. Rspunsul reprezint procesul de validare a rezultatelor deteciei i paii luai pentru remedierea intruziunilor. Activitile din aceast categorie includ aplicarea de patch-uri i devirusare, precum i urmrirea i chemarea n justiie a vinovailor. Abordrile anterioare urmreau restaurarea funcionalitii componentelor afectate de atac; cele mai recente urmresc i remedieri de natur legal prin colectarea dovezilor necesare unor aciuni juridice mpotriva atacatorului. 44

1.6.3 Elementele procesului de monitorizare

Elementele procesului de monitorizare a securitii se vor regsi n componentele de detecie i de rspuns ale procesului de securitate i sunt descrise n continuare conform [PN08]. Colectarea este procesul de culegere a datelor care permit observarea, detec ia, prevenirea ameninrilor i vulnerabilitilor de securitate cunoscute, precum i managementul diferitelor aspecte ale controalelor de securitate implementate pentru a adresa acele ameninri i vulnerabiliti. Identificarea este procesul de recunoatere a evenimentelor suspecte. Activitatea din organizaie din perspectiva securitii este structurat la nivel de evenimente care sunt clasificate dup cum urmeaz: Legitime activiti conforme politicii i controalelor de securitate Suspecte activiti atipice la prima vedere (de exemplu: fragmente de pachete), dar care nu afecteaz bunurile sau resursele organizaiei. n cele mai multe cazuri, aceste activiti sunt conforme cu politica de securitate Maliioase activiti neconforme cu politica de securitate care pot afecta negativ securitatea organizaiei. Atacurile de orice tip sunt cuprinse n aceast categorie Identificarea se poate realiza prin intermediul unor msuri de ordin tehnic i non-tehnic. Msurile de ordin tehnic se regsesc n produse (cum ar fi cele de detecie a intruziunilor i de monitorizare a securitii), n timp ce msurile de ordin non-tehnic se bazeaz pe observaii umane cum ar fi: administratori care identific un nou proces ce ruleaz pe server sau utilizatori ce raporteaz c staiile personale se comport atipic. Aceste msuri nu trebuiesc ignorate, deoarece reprezint adesea mijlocul prin care se detecteaz atacatorii foarte buni. Tot personalul organizaiei ar trebui s cunoasc modul de raportare a unor astfel de situaii suspecte ctre grupul de rspuns la incidente. Validarea este procesul de asociere a unei categorii preliminare de incident evenimentelor identificate n procesul anterior [USAF96]. Categoria I Acces neautorizat la nivel root/admin. Categoria II Acces neautorizat la nivel utilizator Categoria III ncercare de acces neautorizat Categoria IV Atac Denial of Service (DOS) reuit Categoria V Violare de politic de securitate, sau practic de securitate necorespunztoare Categoria VI Activitate de recunoatere, sondare sau scanri Categoria VII Infecie cu virui (vierme) Notificarea este procesul prin care se furnizeaz rezultate de analiz factorilor de decizie (interni sau externi) pentru a rspunde incidentului. Nu toate IA vor fi clasificate ca incidente i trimise ctre factorii de decizie. n majoritatea cazurilor, notificarea reprezint primul pas al planului de rspuns la incident, recomandndu-se organizaiilor s aib proceduri clare n acest sens.

45

Motto: Nu cele mai puternice sau inteligente specii supravieuiesc, ci cele care se adapteaz cel mai bine la schimbare. - Charles Darwin

CAPITOLUL 2

PROCESE I POLITICI DE MONITORIZARE

Securitatea informaiilor este un proces dinamic care trebuie s rspund eficient noilor vulnerabiliti, ameninri, precum i schimbrilor constante care au loc n arhitectura, sau mediul operaional al organizaiei. O abordare exclusiv tehnologic, sau fr suportul ntregii organizaii va conduce la soluii incomplete care nu adreseaz nevoile de ansamblu ale organizaiei. O soluie de succes presupune utilizarea unui proces structurat ce integreaz securitatea informaiei i activitatea de management al riscului n ciclul de via al dezvoltrii sistemelor [PNCN09]. Monitorizarea securitii informaiilor la nivelul organizaiei se definete ca fiind procesul de meninere n mod constant a ateniei asupra securitii informaionale, vulnerabilitilor i ameninrilor, cu scopul de a oferi suport deciziilor legate de managementul riscului la adresa organizaiei. Obiectivul este de a realiza monitorizarea n mod constant a securitii reelelor i sistemelor informaionale ale organizaiei i de a rspunde prin acceptarea, evitarea, transferul sau adresarea riscurilor atunci cnd sunt schimbri [PN08].

2.1 Procesul de management al riscului.

Managementul riscurilor la adresa reelelor i sistemelor de calcul reprezint o component fundamental a programului de securitate informatic a fiecrei organizaii. Principalul obiectiv al procesului de management al riscului este de a proteja organizaia, precum i capacitatea acesteia de a-i ndeplini activitile. De aceea procesul de management al riscului este o funcie esenial a procesului de management al organizaiei, i nu neaprat o funcie tehnic realizat de experii IT, care opereaz i gestioneaz aceste sisteme [PPIN08-01]. Abordarea bazat pe risc a managementului sistemelor informaionale va avea un grad ridicat de eficien atunci cnd este integrat n ciclul de via al dezvoltrilor sistemelor (System Development Lifecycle-SDLC). SDLC este un proces pe mai multe etape care ncepe cu iniierea, analiza, proiectarea, dezvoltarea i implementarea sistemelor informatice, continu cu operarea, i se finalizeaz cu ncheierea ciclului de via al sistemului [NIST-SP 800-64, NIST-SP 800-18, NIST SP 800-39].

46

Managementul riscului organizaional este un element cheie n programul de securitate informaional a organizaiei, i ofer un cadru eficace pentru selectarea controalelor de securitate corespunztoare fiecrui sistem informaional (controale de securizare necesare protejrii indivizilor, operaiilor i bunurilor organizaiei). Abordarea bazat pe risc n ceea ce privete selecia i specificaiile controalelor de securitate va avea n vedere eficacitatea, eficiena, i constrngerile de natur legislativ, politic organizaional, standarde, reglementri sau alte cerine venite din partea managementului executiv al organizaiei [PPIN08-02].

Figura 2.1 - Cadru de management al riscului conform NIST SP 800-30

Urmtoarele activiti legate de managementul riscului organizaional (cunoscut ca i cadru de management al riscului) sunt definitorii pentru implementarea unui program de securitate informaional eficace i pot fi aplicate att pentru sistemele existente ct i cele ce vor fi create [BPN09]. Clasificarea sistemelor informaionale i a informaiilor procesate, memorate i transmise de acel sistem pe baza analizei impactului asupra operaiilor organizaiei. [NIST SP 800-60; FIPS 199]. Selectarea unui set iniial cu controale de securitate de baz (baseline) pentru sistemul informaional realizat pe baza clasificrii de securitate efectuat anterior; adaptarea i suplimentarea controalelor de securitate de baz pe msura nevoilor avnd n vedere evaluarea riscului de ctre organizaie i a condiiilor specifice locale. [FIPS 200; NIST SP 800-53]. Implementarea controalelor de securitate i documentarea modului de amplasare n sistemele informaionale i a mediului de operare [NIST SP 80070; NIST SP 800-100]. 47

Evaluarea controalelor de securitate utiliznd proceduri corespunztoare pentru a determina dac au fost implementate n mod corect, dac opereaz conform planului stabilit i produc rezultatele anticipate n ceea ce privete ndeplinirea cerinelor de securitate pentru sistem [NIST SP 800-53A]. Autorizarea operrii sistemului informaional avnd la baz determinarea riscului la adresa operaiilor, bunurilor, indivizilor precum i a altor organizaii ca rezultat al operrii sistemului respectiv, precum i obinerea deciziei n termeni de acceptabilitate a acestui risc [NIST SP 800-37]. Monitorizarea i evaluarea n mod constant a controalelor de securitate selectat pentru sistemul respectiv, incluznd evaluarea eficacitii, documentarea modificrilor efectuate asupra sistemului sau mediului n care opereaz acesta, efectuarea de analize de impact a securitii asupra schimbrii modificrilor asociate, i raportarea strii de securitate a sistemului ctre persoanele responsabile din organizaie [NIST SP 800-53A, NIST SP 800-37, NIST SP 800137].

Monitorizarea controalelor de securitate este una din componentele cadrului de management al riscului [NIST SP 800-37]. Obiectivul programului de monitorizare este de a determina dac setul de controale de securitate identificate ca fiind necesare, i apoi implementate pentru un sistem informaional, i menin eficacitatea n timp, avnd n vedere dinamica ameninrilor, tehnologiilor, precum i schimbrile care apar n organizaie. Monitorizarea reprezint o activitate important n evaluarea impactului de securitate al unui sistem informaional ce decurge din modificri planificate sau neplanificate n spaiul hardware, software, mediu de operare (incluznd spaiul de ameninare).

2.2. Model de monitorizare a securitii la nivelul ntregii organizaii

Meninerea unei perspective actualizate asupra nivelului de securitate i al riscurilor la nivelul ntregii organizaii este o activitate foarte complex, care necesit implicarea ntregii organizaii (de la managementul executiv care ofer strategia i pn la nivel individual, n ceea ce privete dezvoltarea, implementarea i operarea diferitelor sisteme ce suport activitile de zi cu zi) [PPIN08-01]. Figura 2.2 prezint o abordare pe mai multe nivele a monitorizrii securitii din perspectiv organizaional. Deciziile legate de tolerana riscului care au fost luate la nivel executiv vor determina politica de monitorizare definit la nivelul 1, procedurile la nivelul 2 i activitile de implementare de la nivelul 3.

2.3 Consideraii generale asupra politicilor de securitate

Politicile de securitate sunt fundaia infrastructurii de securitate. Fr acestea, organizaia nu poate fi protejat mpotriva atacurilor de securitate, a disputelor juridice, i publicitii negative. O politic de securitate este un document sau set de documente care stabilesc practici, proceduri i controale n scopul de a proteja resursele organizaiei, de a reduce probabilitatea incidentelor de securitate i minimizarea impactului asupra organizaiei n cazul n care au loc, de a reducere sau elimina expunerea juridic fa de angajai sau alte organizaii [PNCN09].

48

O politic are menirea s influeneze i s determine decizii i aciuni. Standarde cum ar fi BS7799-2/ISO27001, ISO17799/ISO27002, RFC 2196 i RFC 2504 pot fi utilizate ca punct de plecare n elaborarea unei politici de securitate solide pentru organizaie. De exemplu, Controlul A.10.8 al standardului BS7799-2 stabilete cerinele pentru organizaii de a dezvolta i implementa o politic de securitate, precum i controale n scopul reducerii riscurilor de securitate create de sistemul de pot. n mod similar, standardul ISO17799 identific un numr de riscuri de securitate specifice serviciului de pot.

Figura 2.2 - Monitorizarea securitii din perspectiv organizaional [NIST SP 800-137]

n general o politic de securitate definete [Wol05]: Obiectivele de securitate: proprietile de confidenialitate, integritate i disponibilitate ateptat de la sistem Regulile de securitate care sunt impuse mecanismelor care pot modifica starea de securitate a sistemului, pentru a garanta proprietile de securitate. n elaborarea politicii de securitate a organizaiei se vor lua n considerare urmtoarele aspecte [Lig06][Ort98][Ou04] [ISA00] [Kil03][BPN09]: Consistena politicii aceasta trebuie s garanteze c plecnd de la o stare de securitate nu se poate ajunge ntr-o stare de insecuritate fr violarea regulilor de securitate. Dintre cauzele care pot determina inconsistene se amintesc: conflicte ntre regulile funcionale din cadrul sistemelor, obiective de securitate contradictorii, conflicte ntre regulile de securitate ale specificaiilor de sistem, conflicte ntre regulile funcionale i obiectivele de securitate.

49

Cunoaterea potenialilor atacatori - aceasta presupune identificarea motivaiilor acestora, estimarea aciunilor acestora i a pagubelor pe care le pot produce. Msurile de securitate nu pot face imposibil atacul, i de aceea scopul principal stabilirea de controale de securitate care s depeasc abilitatea i motivaia atacatorului. Costul resurselor necesare implementrii, meninerii, precum i al impactului asupra altor activiti i procese ale organizaiei. Cultura organizaiei - Este important ca organizaiile s dezvolte i adopte o politici care s reflecte cultura organizaiei i ofer totodat nivelul de securitate corespunztor riscurilor evaluate. Multe politici sunt dezvoltate utiliznd abloane sau exemple generice din alte organizaii. Politicile de securitate nepotrivite culturii i practicilor de activitate din organizaie conduc adesea la nerespectarea lor pe scar larg. Realismul i suportul conducerii - Politicile trebuie s fie realiste i sprijinite explicit de ctre conducere. De acea, stabilirea unui program de monitorizare centrat n jurul organizaiei i misiunii sale, va avea asigurat suportul conducerii. nainte de publicare, vor trebui adresate toate problemele i aspectele legate de gradul de acceptare din partea utilizatorilor, precum i costurile asociate schimbrilor sistemelor i practicilor curente. Culturalizarea politicii Securitatea este un comportament care se nva. Dac utilizatorii nu contientizeaz valoarea unei politici, nu o vor gsi necesar, i astfel nu o vor urma. Utilizatorii vor trebui s neleag o politic nainte de a li se cere s se conformeze acesteia. Un program de instruire eficace ar trebui s includ notificri prealabile asupra politicii din partea grupurilor responsabile cu elaborarea, i implementarea acesteia. De ndat ce este publicat, se vor prezenta msurile de monitorizare a conformrii utilizatorilor i perioada n care va intra n vigoare. Este important explicarea detaliat a procedurilor de obinere a exceptrilor de la politic i a raportrii nclcrii acesteia. Programul de instruire trebuie s includ notificri periodice ctre utilizatori i management asupra problemelor de neconformitate pn cnd acestea sunt rezolvate. Urmrirea conformrii i msuri disciplinare Odat cu politica este necesar i elaborarea procedurilor de monitorizare a conformrii i a msurilor disciplinare n caz de neconformare. Aceste proceduri de monitorizare au rolul de a detecta i rezolva interpretrile eronate sau nclcrile politicii. Procedurile de management a incidentelor trebuie s adreseze modul de investigare i colectare de evidene, i cazul n care trebuie implicate autoritile legale. Datele asupra gradului de conformare, excepii i violri trebuie comunicate n mod regulat conducerii asigurndu-se att informarea ct i sprijinul acestora.

2.4 Procesul de implementare a unui program de monitorizare

O strategie bine definit de monitorizare a securitii informaionale adreseaz evaluarea controalelor de securitate, monitorizarea strii de securitate i raportarea strii de securitate dintr-o perspectiv decizional orientat n jurul riscurilor. Elementele programului de monitorizare a securitii sunt [PPN07-01] [PPIN08-01]: Definirea strategiei de monitorizare bazat pe tolerana la risc ce asigur o vizibilitate asupra bunurilor, vigilen asupra vulnerabilitilor, i utilizeaz informaii legate de ameninri actuale sau n curs de cristalizare. Stabilirea de msurtori, i metrici care [PPIN08-02] [PPN06-05]: 50

determin starea de securitate a organizaiei detecteaz schimbrile n infrastructura informaional a organizaiei detecteaz schimbrile n mediile de operare menin vizibilitate asupra bunurilor asigur un grad ridicat de informare asupra vulnerabilitilor ofer informaii asupra ameninrilor asigur eficiena controalelor de securitate ntr-o manier care suport operarea n limitele de toleran de risc stabilite. Implementarea programului de monitorizare pentru a colecta datele necesare pentru metricile predefinite i raportarea celor identificate; automatizarea colectrii, analizei i rapoartelor unde acest lucru este posibil. Analiza datelor colectate, raportarea celor identificate i determinarea rspunsului corespunztor. n acest caz poate fi necesar colectarea de informaii adiionale pentru a suplimenta datele de monitorizare existente. Rspunsul tehnic, managerial i operaional pentru adresarea incidentelor sau acceptarea, transferul sau evitarea riscului. Revizuirea i actualizarea programului pe o baz continu, ajustnd strategia de monitorizare, eficientiznd capacitile de msurare pentru a crete vizibilitatea asupra bunurilor i vulnerabilitilor; crearea de controale de securitate n organizaie bazate pe datele de monitorizare; creterea rezilienei organizaionale.

2.4.1. Definirea strategiei de monitorizare

Orice efort sau proces n suport al monitorizrii securizrii, trebuie s nceap prin definirea unei strategii de monitorizare globale acoperind aspecte tehnologice, procesuale, procedurale, operaionale i de personal uman. Elementele care vor fi luate n considerare n stabilirea strategiei sunt [PPN07-01] : Aspectele de toleran a riscului n organizaie Msurtori i metrici pentru a oferi indicaii edificatoare asupra strii de securizare la toate nivelele organizaionale Verificarea pe o baz continu eficacitatea controalelor de securitate Meninerea vizibilitii asupra inventarului cu bunuri ale organizaiei Controlul asupra schimbrilor prin managementul inventarului i configuraiei Managementul proactiv al impactului asupra securitii n cazul schimbrilor Vizibilitatea i informarea asupra spaiului vulnerabilitilor i ameninrilor Necesitatea organizaiei de a stabili prioriti i a menine riscul n limitele de toleran acceptate. Un program eficace de monitorizare ncepe cu dezvoltarea unei strategii care adreseaz cerinele de monitorizare, i activitile la fiecare nivel organizaional descris n figura 2.2. n funcie de organizaie pot exista suprapuneri ntre sarcinile i activitile efectuate la fiecare nivel. Fiecare nivel monitorizeaz metricile de securitate pentru a determina eficacitatea controalelor stabilite, i frecvena de evaluare. Eficacitatea controlului de securitate poate fi considerat ca o metric de securitate n sine i poate avea astfel asociat o frecven de monitorizare a strii [PPIN08-02].

51

2.4.1.1 Strategia de monitorizare la nivel organizaional i al misiunii sale Responsabilii cu evaluarea riscului vor determina riscul de toleran organizaional la nivel general precum i strategia de adresare a riscului n contextul organizaional. Strategia de monitorizare i programul sunt dezvoltate i implementate pentru suportul managementului de risc n concordan cu tolerana la risc a organizaiei. n mod uzual, strategia de monitorizare la nivelul organizaiei este dezvoltat la nivel organizaional, cu proceduri generale de implementare elaborate la nivelul misiunii sale. Aceast informaie este comunicat personalului de la toate nivelele, i se va reflecta n politicile i procedurile nivelelor misiune, i sistem. La nivelul organizaiei (management executiv) i al misiunii (operaiilor) strategia de monitorizare poate include politici i proceduri n suportul acesteia cum ar fi [NIST SP 800-137] : Politica de definire a metricilor cheie Politica pentru modificri i ntreinerea strategiei de monitorizare Politica i procedurile pentru evaluarea eficacitii controalelor de securitate Politica i procedurile pentru monitorizarea strii de securitate Politica i procedurile pentru raportarea strii de securitate (asupra eficienei controlului i strii de monitorizare Politica i procedurile pentru evaluarea riscurilor i de obinere a informaiilor asupra ameninrilor Politica i procedurile pentru managementul configuraiilor Politica i procedurile pentru analiza impactului de securitate Politica i procedurile pentru implementare i utilizarea aplicaiilor la nivelul organizaiei Politica i procedurile pentru stabilirea frecvenelor de monitorizare Politica i procedurile pentru determinarea dimensiunii eantionului i populaiilor ce fac obiectul monitorizrii Proceduri pentru determinarea msurilor de securitate i a evalurii riscurilor. Model pentru raportarea strii de securitate Politica i procedurile pentru instruirea personalului implicat n monitorizarea securitii. Instruirea include managementul i utilizarea aplicaiilor, recunoaterea i rspunsul la incidente i alerte pe baza metricilor, indicndu-se cnd riscul depete riscurile acceptabile. 2.4.1.2 Strategia de monitorizare la nivelul sistemelor informaionale Are la baz determinarea riscurilor asociate operrii fiecrui sistem sau poriune de infrastructur. Strategia i programul de monitorizare la nivelul sistemului sunt dezvoltate i implementate pentru suportul managementului de risc la nivelul ntregii organizaii, i nu doar la nivel sistem, n concordan cu riscul de toleran asociat sistemului, ct i celui organizaional. Informaia de securitate la acest nivel include evaluarea datelor legate de controalele de securitate la nivel sistem i metricile obinute pe baza acestor controale de securitate. Grupurile i departamentele care opereaz sistemele stabilesc strategia de monitorizare la nivel sistem lund n considerare factori tehnologici, arhitecturali,

52

specifici mediului de operare, dar i cerinele, politicile, procedurile i modelele stabilite la nivelul organizaional i al celei de misiune [PPN06-03]. n general, strategia i programul este definit la nivelul organizaional i al misiunii sale, iar politicile de implementare specifice sistemelor sunt dezvoltate la nivelul de baz. Monitorizarea la nivel sistem va adresa monitorizarea controalelor de securitate din punct de vedere al eficacitii, monitorizarea strii de securitate i a raportrii celor identificate. Dac iniial monitorizarea strii de securitate viza identificarea ameninrilor (detecia intruziunilor), conceptul a fost ulterior extins i ctre alte zone din sfera securitii IT cum ar fi: monitorizarea conformrii cu politica de securitate, monitorizarea eficacitii controalelor de securitate, monitorizarea vulnerabilitilor controalelor, etc [PPN09] O soluie de monitorizare complet, care va putea oferi informaii de starea securitii cat mai apropiate de realitate, va trebui s acopere toate aspectele de securitate prezentate n figura 2.3 cum ar fi [PNCN09].: Ameninri clasa de monitorizare ce urmrete detecia atacurilor (de exemplu: sistemele IDS), i constituie latura preponderent reactiv a soluiei complete de monitorizare a securitii Vulnerabiliti - clasa de monitorizare ce urmrete identificarea sistemelor vulnerabile (de exemplu: scanere de vulnerabiliti), i constituie o component preponderent proactiv a monitorizrii securitii Controale - clasa de monitorizare ce urmrete gradului de conformare cu politica de securitate i eficacitatea controalelor de securitate implementate. Aceasta constituie o component preponderent proactiv a monitorizrii securitii. Resurse - clasa de monitorizare ce urmrete realizarea i meninerea unui inventar actualizat al resurselor organizaiei, configuraiei, gradului curent de utilizare i operare a acestora (de exemplu: sisteme de management de reea, monitorizarea utilizare server, etc.). Aceasta constituie o component de suport a monitorizrii securitii. Risc - clasa de monitorizare ce urmrete evaluarea n timp real a riscului prezentat de intruziuni, pentru a ajuta la o mai bun prioritizare a rspunsului. Aceast este o component preponderent reactiv a soluiei complete de monitorizare a securitii. Un exemplu n acest sens ar fi componenta monitorizare a riscului utilizat de soluia de monitorizare OSSIM (Open Source Security Information Management) [PPN08]. Ageni de ameninare este clasa care are rolul de a anticipa noi categorii de ameninri, evoluia acestora. Un exemplu n acest sens ar fi: monitorizarea forumurilor, site-urilor de socializare precum i a altor resurse publice. Acest gen de clas de monitorizare este prezent n procesele de tip cyber intelligence. Ca element de baz, eficacitatea tuturor controalelor de securitate este evaluat n concordan cu planul de securitate al sistemului i cu metode specifice descrise n NIST 800-53A. Frecvena de evaluare este determinat de operatorii de sisteme pe baza cerinelor primite de la toate cele trei niveluri. Informaia de securitate de la nivel sistem este utilizat pentru a determina starea de securitate la toate cele trei niveluri. 53

Figura 2.3 Relaia dintre procesul de monitorizare a securitii i cel de management al riscului

54

2.4.2 Stabilirea de msurtori i metrici

Asemenea oricrui alt proces, managementul efectiv al securitii nu poate avea loc dac aceasta nu poate fi msurat. Implementarea unor metrici de securitate este important pentru determinarea nivelului curent de securitate, pentru evaluarea eficienei controalelor de securitate implementate, pentru dezvoltarea unor proceduri operaionale adecvate, dar i pentru suportul eforturilor de cercetare n domeniul securitii [PPN06-05]. Acest subiect capt o importan n contextul n care organizaiile trebuie s se alinieze unor norme i reglementri n domeniul asigurrii securitii care s demonstreze eforturi luate n direcia protejrii datelor, ct i n contextul economic actual n care resursele financiare sunt limitate. [SOX06] n activitatea de msurare a securitii se utilizeaz urmtorii termeni definii dup cum urmeaz [DoD09]: Definiie: Msurtoare reprezint date colectate care cuantific o singur dimensiune a obiectului supus msurtorii. Un exemplu n acest sens este numrul de vulnerabiliti al unei aplicaii. Definiie: Msurarea reprezint procesul de efectuare de msurtori. Definiie: Metricile (n literatura se utileaz ca sinonim i termenul de msur) sunt msurtori care au fost structurate ca informaie cu relevan pentru procesul de elaborare a deciziilor. Organizaiile determin msurtorile i metricele pentru evaluarea i controlul riscului organizaiei. Metricile sunt dezvoltate pe baza datelor de la nivel sistem astfel nct s rezulte informaii cu relevan pentru procesul de management de risc organizaional ct i n contextul misiunii i operaiilor sale. Metricile colectate la nivelul sistemelor i reelelor pot fi agregate iar informaiile relevante pentru factorii de decizie pot fi extrase pe baza acestora. Msurtorile includ toate informaiile cu relevan de securitate din evaluri i monitorizare obinute pe baza unor procese automatizate precum i informaii obinute pe cale manual. Dac msurtorile reprezint rezultatele la un moment dat de timp ale unor parametri msurabili, metricile ofer o imagine mai complet (constnd de regul din cteva msurtori, valori de referin i alte informaii care ofer context de interpretare a msurrilor). Cteva exemple de msurtori sunt : Numrul i severitatea vulnerabilitilor identificate i remediate Numrul componentelor neautorizate dintr-o reea Activitatea autorizat Procentul de computere configurate corespunztor Procentul de sisteme care au testat planuri de situaii de urgen Numr de angajai care sunt la curent cu cerinele programelor de instruire. Cteva exemple de metrici sunt : 55

Limitele de toleran a riscului pentru organizaie, Scoruri de risc asociat cu o anumit configuraie sistem Scorul de securitate a unei arhitecturi ce urmeaz a fi creat n contextul arhitecturii existente i a nevoilor organizaionale.

Un set corespunztor de metrici va fi orientat ctre un obiectiv i va avea urmtoarele caracteristici [NIST800-33]: Specific Msurabil Comparabil Determinabil Repetabil i Dependent de timp. 2.4.2.1 Standarde i metodologii pentru elaborarea metricilor de securitate Codurile de practic i standardele de securitate sunt utile ca un prim punct de plecare n definirea i implementarea unui program de metrici n organizaie. Acestea vizeaz cu precdere stabilirea de seturi de controale, ns modul de msurare a calitii i aplicabilitii acestor controale nu face obiectul acestora. [BS 7799, ISO 17799, NIST SP 800-33][BPN09] SECMET (Security Metrics Consortium) a fost nfiinat pentru definirea unor metrici de securitate standard pentru companii i a facilita adoptarea acestora de ctre factorii de decizii din companii. Un alt efort de standardizare este condus de MWG (Metrics Work Group) din cadrul ISSEA (International Systems Security Engineering Association). Acest grup este nsrcinat totodat i cu dezvoltarea de metrici pentru SSE-CMM (System Security Engineering-Capability Maturity Model). SSE-CMM a adoptat metodologia NIST SP 800-55 pentru dezvoltarea metricilor de securitate i proces. Grupul a propus 22 de arii de proces pentru dezvoltarea de metrici grupate n dou seciuni i anume: practici de baz de securitate, i practici de baz pentru proiecte i organizaii. ntre timp, organizaiile legislative din mai multe ri au elaborat proiecte i reglementri care necesit msurtori n domeniul securitii IT (HIPAA- Health Insurance Portability and Accountability Act, FISMA- Federal Information Security Management Act, The Data Protection Directive 95/46/EC a Parlamentului European). Cele mai importante metode utilizate n dezvoltarea metricilor de securitate sunt: metodologia de evaluare a performanelor IT (coordonat de Departamentul Aprrii USA), care are urmtoarele componente: capabiliti, nivel atribut i metrici specifice. model bazat pe capabiliti - un produs al SSE-CMM i adreseaz capabiliti funcionale cum ar fi: protecie, detecie i rspuns. model orientat ctre rolul utilizatorilor (stakeholders) - abordeaz problematica metricilor din perspectiva rolului organizaional al utilizatorilor (responsabilitatea, interesul i aciunile acestora).

56

Dificultatea n procesul de definire i elaborare a metricilor de securitate const n formularea i modelarea matematic a acestora. Metricile trebuie s fie de asemenea uor de obinut i de validat, i s acopere toate dimensiunile securitii IT incluznd organizaia, componenta tehnologic precum i pe cea operaional. 2.4.2.2 Metrici pentru evaluarea vulnerabilitilor de securitate Multe din strategiile de evaluare i validare a securitii sunt nc axate exclusiv pe proceduri de tip scanri de vulnerabiliti, teste de penetrare, sau alte mijloace de identificare a deficienelor n implementarea controalelor de securitate legate de protecia bunurilor organizaiei. Eficiena unor astfel de implementri este limitat n contextul numrului mare i a frecvenei ridicate de noi vulnerabiliti. Pentru a determina urgena i prioritatea de rspuns la vulnerabiliti, organizaiile au nevoie de modele care s ia n calcul severitatea acestora. CVSS (Common Vulnerability Scoring System) este un model care ofer un scor al gradului de risc i severitate al vulnerabilitii. Scorul este determinat pe baza unor metrici care acoper trei categorii distincte care pot fi msurate cantitativ i calitativ: 1. Metricile de baz conin atribute care sunt intrinseci fiecrei vulnerabiliti i nu variaz n funcie de timp sau mediu. 2. Metricile temporale conin caracteristici ale vulnerabilitii care se modific pe durata de via a vulnerabilitii. 3. Metricile de mediu conin acele caracteristici care sunt legate de o anumit configuraie a implementrii din mediul utilizatorului. Setul de metrici utilizat n CVSS a fost identificat pe baza unui compromis ntre uurina utilizrii, acurateei i acoperirea n detaliu, obinut dup testri extensive a multiple seturi de vulnerabiliti reale n diferite medii utilizator. [CVSS-09] A. Metricile de baz Setul de metrici de baz care acoper trsturile de baz ale unei vulnerabiliti sunt: Vector de acces (VA) - msoar dac vulnerabilitatea este exploatabil local sau la distan. Valorile posibile sunt {local, la distan} Complexitatea accesului (CA) - msoar gradul de complexitate al atacului necesar pentru exploatarea vulnerabilitii odat ce atacatorul are acces la sistemul int. Valorile posibile sunt {mare, mic} Autentificarea (A) - msoar dac atacatorul trebuie s fie autentificat de sistemul int pentru a putea exploata vulnerabilitatea. Valorile posibile sunt: {necesar, nenecesar} Impactul de confidenialitate (IC) - msoar impactul asupra confidenialitii n cazul unei exploatri cu succes a vulnerabilitii pe sistemul int. Valorile posibile sunt {fr impact, parial, complet}. Impactul de integritate (II) - msoar impactul asupra integritii n cazul unei exploatri cu succes a vulnerabilitii pe sistemul int. Valorile posibile sunt: {fr impact, parial, complet} Impactul de disponibilitate (ID) - msoar impactul asupra disponibilitii n cazul unei exploatri cu succes a vulnerabilitii pe sistemul int. Valorile posibile sunt: {fr impact, parial, complet}

57

Impactul de bias (prejudecat) (IB) - permite acordarea unei ponderi mai mari unuia dintre cele trei metrici menionate anterior n detrimentul celorlalte dou. Valoarea poate fi : Normal - IC, II, ID, au aceeai pondere Confidenialitate - dac IC are pondere mai mare dect II i ID Integritate - dac II are pondere mai mare dect IC i ID Disponibilitate - dac ID are pondere mai mare dect IC i II

Figura 2.4 Model de evaluare a vulnerabilitilor de securitate

B. Metricile temporale Metricile temporale reprezint trsturile dependente de timp ale vulnerabilitii i anume: Exploatabilitatea (E) - msoar complexitatea procesului de exploatare a vulnerabilitii pe sistemul int. Valorile posibile sunt: {nedovedit, n stadiu de validare a conceptului, funcional, mare}. Nivelul de remediere (NR) - msoar nivelul de disponibilitate a unei soluii. Valorile posibile sunt: {rezolvare permanent, rezolvare temporar, soluie de moment, i nedisponibil}. Confidena raportului (CR) - msoar gradul de confiden n existena vulnerabilitii i credibilitatea raportrii acesteia. Valorile posibile sunt: {neconfirmat, neverificat, i confirmat}.

58

C. Metricile de mediu Metricile de mediu reprezint trsturi specifice configuraiei implementrii i mediului de existen a vulnerabilitii: Potenial de distrugeri colaterale (PDC) - msoar potenialul de pierdere a unui echipament, distrugerea proprietii, pierderi de viei sau accidente umane Valorile posibile sunt: {fr, sczut, mediu, mare}. Distribuia intelor (DT) - msoar mrimea relativ a domeniului sistemelor int susceptibile la vulnerabilitate Valorile posibile sunt: {fr, sczut, mediu, mare}. Elaborarea scorului se face pe baza combinrii tuturor valorilor metricilor pe baza formelor specifice prezentate mai jos :
1. Scorul de baz (SB)- este calculat de furnizor dup cum urmeaz :
SB= round(10 * VA* CA *A * ((IC * IBC) + (II * IBI) + (IA * IBA))

Odat ce acesta este publicat, scorul de baz (SB) nu se va mai modifica i va reprezenta fundaia care va fi modificat de metricile temporare i mediu. Scorul de baz are ponderea cea mai mare n scorul final i reprezint nivelul de severitate a vulnerabilitii.
2.

Scorul temporal (ST)- este calculat de furnizori dup cum urmeaz :

ST= round(SB * E * NR * CR)

i permite introducerea factorilor de reducere a scorului vulnerabilitii i va fi reevaluat la intervale de timp specifice pe durata de via a vulnerabilitii. Acest scor reprezint gradul de urgen al vulnerabilitii la un moment dat de timp.
3. Scorul de mediu (SM)- este calculat n mod opional de organizaiile utilizator i

ajusteaz cele dou scoruri anterioare pe baza urmtoarei formule :

SM= Round((ST + ((10-ST) * PDC)) * DT)

Acest scor reprezint o valoare la un moment dat de timp reprezentativ pentru un mediu anume. Organizaia ar trebui s utilizeze acest scor, SM, pentru a prioritiza rspunsul la vulnerabilitate n cadrul mediului respectiv. CVSS difer de alte sisteme de scor a vulnerabilitilor cum ar fi Microsoft Threat Scoring System, Symantec Threat Scoring System, Cert Velnerability Scoring sau Sans Critical Vulnerability Analysing Scale Rating) prin faptul c ofer un cadru deschis de clasificare a vulnerabilitilor ntr-o manier consistent, ct i posibilitatea de personalizare a acestora pentru fiecare mediu utilizator. Pe msur ce CVSS se maturizeaz aceste metrici pot fi extinse sau ajustate pentru a-l face ct mai precis, flexibil i reprezentativ pentru modul de adresare a claselor de vulnerabiliti i a riscurilor asociate cu acestea. 2.4.2.3 Metrici pentru evaluarea controalelor de securitate n sistemele informaionale n multe organizaii, msurtorile legate de securitatea sistemelor informaionale sunt conduse adesea de echipe multiple care acioneaz n mod dependent pentru definirea, colectarea i analiza metricilor tehnice.

59

Aceste metrici includ vulnerabilitile identificate n scanrile de reea, raportarea incidentelor, estimarea pierderilor cauzate de evenimentele de securitate, rata de descoperire a defectelor de securitate n noile aplicaii software, alerte ale sistemului de intruziune, numrul de emailuri infectate de virui interceptate, i altele.

Figura 2.5 Model de securitate bazat pe metrici [PPN06-05]

Metricile de securitate descrise n aceast seciune vizeaz integritatea i disponibilitatea reelei i sistemelor. Alte aspecte precum valoarea bunurilor informaionale sau costul pierderilor, nu fac subiectul analizei. n contextul unui model orientat pe rolul avut n organizaie (Modelul stakeholders), utilizatorii vor urmri diferite aspecte legate de securitatea sistemelor. Managementul de nivel executiv, ce corespunde nivelului organizaional i misiune din figura 2.1 i este responsabil cu performanele de nivel general ale organizaiei, va fi interesat de capacitatea sistemului de a asigura suportul operaiilor organizaiei i misiunilor acesteia. Avnd autoritatea de a aloca resurse (att financiare ct i de personal) pentru a adresa problemele de securitate a sistemelor i infrastructurii, acetia vor fi interesai n a avea rspunsul la urmtoarele ntrebri: Gradul de securitate al organizaiei comparativ cu al altora similare din acelai domeniu de activitate Evoluia n timp a securitii sistemelor Eficiena investiiilor efectuate n domeniul securitii sistemelor i infrastructurii Costurile i consecinele cnd se consider asumarea riscurilor asociate unor noi vulnerabiliti. Un exemplu de metrici de securitate la nivelul managementului ar fi:

60

Nivelul de serviciu al sistemelor - procentul de disponibilitate a serviciilor sistemelor msurat pe durata unui interval de timp specificat, precum i evoluia acestuia. Nivelul serviciului de reea - procentul de disponibilitate a serviciilor reelei msurat pe durata unui interval de timp specificat, precum i evoluia acesteia. Nivelul de satisfacere al cerinelor de business - procentul de nevoi de business satisfcute de infrastructura i sistemele existente. Numrul de compromiteri - numr de incidente pe durata unei perioade date, n care reeaua sau sistemele au fost compromise Impactul compromiterilor asupra organizaiei - pentru fiecare incident, numrul de ore, timpul i personalul afectat de degradarea sau ntreruperile cauzate de reea, sisteme sau serviciile de aplicaii. Costurile i beneficiile investiiilor - costurile directe i indirecte, precum i beneficiile ca urmare a investiiilor legate de securitatea sistemelor

Echipa de securitate pentru reea i sisteme este n mod uzual responsabil cu definirea controalelor de securitate i este interesat de modul n care programele, procedurile i politicile de securitate rezolv cerinele impuse n acest sens. Dac sistemele responsabile pentru compromitere erau conforme cu politica de securitate? Ce schimbri ar trebui fcute la politica i procedurile de securitate? Dac politica nu i atinge scopul ce aspecte comportamentale trebuie modificate la nivelul politicii pentru atingerea obiectivelor? Ce tehnologii ar putea ajuta prevenirea unor compromiteri viitoare? Care a fost impactul tehnic al compromiterii? Echipa de securitate operaional este responsabil cu meninerea unui nivel de securitate n limitele prevzute de politica de securitate i de regul utilizeaz n decursul activitilor de zi cu zi urmtoarele seturi de metrici: Structura vulnerabiliti - este numrul cumulativ de vulnerabiliti identificate n organizaie clasificate dup echipamentele conforme i neconforme cu politica de securitate ncercri de intruziune - este numrul de ncercri de intruziune ncercri de acces neautorizat - este procentul de accese neautorizate pentru diferite servicii de reea sau sisteme Rapoarte de conformitate detaliat - este numrul de utilizatori i echipamente conforme cu fiecare element al politicii de securitate Impactul de compromitere - va msura utilizatorii afectai (datorat serviciului degradat, ntrerupt), nivelul de date pierdut, modificat sau distrus; numrul de echipamente compromise; degradarea performanelor reelei i sistemelor. Scanri suspecte de porturi - numr de scanri suspecte din organizaie, timp de remediere, care este timpul ntre descoperirea compromiterii i ncheierea remedierii.

61

2.4.3 Implementarea programului de monitorizare

2.4.3.1 Categorii de date utilizate n procesul de monitorizare Un prim pas al fazei de implementare const n identificarea categoriilor de date care pot fi colectate i utilizate n procesul de elaborare a metricilor definite. n cele mai multe cazuri, aceste categorii de date sunt [PPN06-02] [PPN07-01][PNCN09]: Datele de trafic complete - reprezint totalitatea pachetelor de trafic colectate de senzori. n marea majoritate a cazurilor, acest tip de date reprezint materia prim pentru sistemele IDS de reea. Totodat, ele sunt utilizate pentru analiza detaliat a alertelor, validarea intruziunilor, i investigaii post incident. Analiza i corelaiile stabilite pe baza acestui date tip sunt de natur s confirme cu exactitate modul de operare a unui atac, precum i validarea rspunsului implementat. nregistrrile complete de trafic prezint dou trsturi care le fac valoroase: granularitatea (accesul la fiecare bit al pachetului de date face posibil determinarea intruziunilor care nu ar fi posibil de detectat prin alte mijloace, cum ar fi utilizarea de ctre atacator a unei aplicaii de canal ascuns) i relevana aplicaiei (accesul la informaia disponibil nivelului aplicaie permite o mai bun nelegere a interaciunii ntre cele dou entiti atunci cnd aceasta nu este criptat). Datele de sesiune - reprezint sinteza schimbului de pachete ntre dou staii. Elementele de baz ale datelor de sesiune includ: adresele IP i porturile surs/destinaie, timpul de start al sesiunii i o msur a volumului de informaii transferat pe durata sesiunii. Spre deosebire de sistemele IDS care urmresc identificarea unei semnturi sau anomalii, aplicaiile de colectare a datelor de sesiune vizeaz identificarea i arhivarea tuturor sesiunilor vizibile senzorilor. Pe msur ce ncrcarea de trafic crete, analiza acestui tip de date reprezint cea mai simpl metod pentru a urmrile micrile atacatorilor i succesiunea acestora n timp. Deoarece adesea, colectarea datelor complete de trafic este imposibil sau foarte greu de realizat pentru legturile de mare vitez, datele de sesiune reprezint cea mai bun aproximare a conversaiei ntre dou entiti din reea. Datele statistice reprezint o sinteza a traficului de reea pe o perioad mai mic sau mai mare de timp. Asemenea celor dou tipuri de date prezentate anterior, i acest tip de date este neutru din punct de vedere al coninutului comunicaiei ntre staii. Datele statistice pot fi de dou categorii: statistici descriptive (rezultate ale agregrii datelor de trafic complete ntr-o manier clar i coerent, cum ar fi statisticile disponibile pe rutere) i statistici deduse (unde rezultatele analizei efectuate asupra unui eantion de populaie reprezentativ, sunt extinse la ntreaga populaie). Datele de pe sisteme - sunt fiierele de jurnalizare generate de sistemele de operare, sau de aplicaii (email, web, etc) ce ruleaz pe aceste sisteme, statistici despre ncrcarea sistemelor, accesul utilizatorilor la resurse. Alerte IDS Alertele sunt rezultatul unui proces prealabil de procesare i analiz efectuat de sistemele IDS asupra datelor de trafic vizibil acestora (n cazul IDS de reea) sau a datelor disponibile pe sisteme n cazul IDS de sistem. Pentru detectarea unor planuri de intruziune pe scar larg, este necesar corelarea tuturor datelor disponibile (alerte IDS din mai multe segmente de reea ale

62

organizaiei, rutere, jurnale firewall, fiiere de log de pe staii, date de sesiune i date de trafic complete). Date vulnerabiliti sunt date generate de sistemele proprii de detecie a vulnerabilitilor. Pot fi n format fiier, ns cele mai multe organizaii au console pentru managementul i prezentarea acestora Notificri de neconformitate sunt generate de sistemele de monitorizate ce urmresc gradul de conformare a staiilor din organizaie cu politica intern sau cu alte reglementri (de exemplu: sistemele ce proceseaz pli electronice pe cri de credit trebuie s se conforme unor practici i standarde de domeniu cum are fi PCI (Payment Card Industry) Date activitate utilizatori pentru minimizarea riscului anumite organizaii monitorizeaz activitatea utilizatorilor cu privilegii sporite. De asemenea, avnd n vedere senzitivitatea datelor utilizate n procesul de monitorizare a securitii, se recomand monitorizarea activitii personalului i verificarea periodic a cazierului juridic a personalului implicat n acest proces Date management a reelei sunt date generate de sistemul de management ale reelei care poate oferi indicaii asupra activitilor atipice din reea. Date alarme proactive ale sistemelor pot fi date statistice de timp real generate n organizaiile mari pe baza alarmelor de monitorizare a aplicaiilor din organizaie (de exemplu: alarme simultane sau n volum neobinuit al sistemelor de procesare a tranzaciilor de business specifice)

2.4.3.2 Implementarea tehnic a soluiei de monitorizare O descriere detaliat a tehnologiilor de monitorizare ce pot fi utilizate pentru implementarea programului de monitorizare este descris n capitolul 3, iar modul de integrare a diverselor componente, precum, corelarea i raportarea este descris n capitolul 4.

2.4.4 Rspunsul la incidentele de securitate

Incidentul reprezint o violare a politicilor i procedeelor de securitate ale organizaiei. Pentru a detecta i rspunde eficace la aceste nclcri ale politicilor de securitate, este necesar ca organizaia s dispun de politici i proceduri de rspuns la incident. 2.4.4.1 Componentele procesului de tratare a incidentelor Ghidul de tratare a incidentelor de securitate n sisteme de calcul NIST SP 800-61 prezint principalele faze ale procesului de rspuns n caz de incidente: 1. Prepararea - Organizaiile trebuie s ia msuri prealabile pentru a rspunde eficace n caz de incident. Aciunile care se recomand n aceast faz sunt: Dezvoltarea de politici i proceduri de tratare a incidentelor Realizarea unui program de instruire i exerciii periodice cu orientare specific Stabilirea n avans a unei echipei de rspuns la incidente (ERI) care va fi responsabil pentru coordonarea rspunsurilor organizaiei n caz de incident Stabilirea mai multor mecanisme de comunicare n scopul asigurrii coordonrii ntre membrii ERI, personalul tehnic, conducerea organizaiei chiar i n cele mai nefavorabile situaii.

63

2. Detecia i analiza - n cazul unor incidente de tip ce afecteaz infrastructura de

reea (cum ar fi atacuri DOS, sau pe baz de viermi) o detecie i validare n cel mai scurt timp este necesar pentru a evita contaminarea pe scar larg. O detecie ct mai rapid poate ajuta organizaia s minimizeze impactul incidentului, micornd considerabil timpul i costurile de refacere. Aciunile ce se recomand n aceast faz sunt [CBU--][DOE--]: Monitorizarea buletinelor de notificare publicate de organizaii cum ar fi US CERT (Computer Emergency Response Team), US DOE-CIAC (US Department of Energy Computer Incident Advisory Capability) Monitorizarea alertelor i evenimentelor de securitate produse de diverse controale tehnice cum ar fi: firewalls, IDS, antivirus, fiiere jurnal de pe sisteme (web, email, etc) etc. Evaluarea datelor de incident din sursele iniiale cum ar fi rapoartele utilizator, sau ale personalului IT, i controalele tehnice pentru a avea o nelegere complet a mecanismului de intruziune . Construirea unui set de aplicaii ce va fi utilizat n identificarea intruziunii, i a altor activiti de analiz Stabilirea unui set de criterii de prioritizare pe baza cruia se identific nivelul corespunztor de rspuns pentru incidentele ce afecteaz reeaua i sistemele organizaiei. 3. Izolarea - Aceast faz vizeaz limitarea incidentului n vederea suprimrii intruziunii. n cazul incidentelor de tip malware (virui, viermi) izolarea are dou componente majore: stoparea propagrii (compromiterii de noi sisteme) i prevenirea efecturii de alte daune pe sistemele deja compromise. n adresarea incidentului, este important ca organizaia s decid asupra metodelor de izolare ce vor fi utilizate n faza iniial a rspunsului. Organizaiile vor trebui s aib strategii i proceduri disponibile pentru a lua deciziile legate de izolarea incidentului care s reflecte nivelul de risc acceptabil pentru organizaie. Politicile organizaionale trebuie s stabileasc clar persoana autorizat s ia decizii majore de izolare a incidentului i circumstanele aferente. Recomandrile specifice acestei faze includ urmtoarele: Identificarea staiilor compromise de incident. Pentru organizaiile mari trebuie stabilite n prealabil metodele i tehnicile de identificare a staiilor din reea Dac este cazul, i este posibil, se vor oferi utilizatorilor instruciuni pentru a identifica dac staiile client au fost compromise i msurile ce ar trebui luate. Totui, organizaiile nu trebuie s se bazeze exclusiv pe utilizatori chiar i n cazul izolrii incidentelor care afecteaz organizaia pe scar larg. Dac software-ul maliios nu poate fi identificat i izolat prin actualizarea softwarelui antivirus, organizaiile trebuie s fie pregtite s utilizeze alte mijloace pentru izolare. Organizaiile trebuie s fie n msur s trimit eantioane de cod maliios furnizorului de aplicaie pentru analiz, precum i s contacteze organizaiile de rspuns la incidente i furnizorii de antivirui atunci cnd este necesar consultarea n legtur cu modul de adresare a noilor ameninri. Pentru izolarea incidentului, organizaia trebuie s fie pregtit chiar i pentru ntreruperea total sau blocarea serviciilor utilizate de programul maliios, inclusiv a aplicaiilor i serviciilor de baz (web, e-mail, etc). Organizaia trebuie s fie n msur s rspund problemelor create de alte organizaii ca urmare a dezactivrii propriilor lor servicii n rspuns la un incident. 64

Dac situaia o impune, organizaia va dispune restricii suplimentare de conectivitate pe o durat limitat (de exemplu: suspendarea accesului la Internet, dezactivarea de porturi, rerutarea traficului, punerea n carantin a staiilor compromise) 4. Eradicarea - Principalul obiectiv al acestei faze este eliminarea ameninrii. Spre exemplu, n cazul atacurilor de tip malware se urmrete tergerea aplicaiei malware din sistemele compromise. Pentru atacurile de tip DoS, obiectivul este blocarea complet a traficului de atac. Datorit necesitii unor eforturi de eradicare relativ mari, organizaiile trebuie s fie pregtite s utilizeze concomitent diverse combinaii de tehnici de eradicare n situaii variate. Organizaiile trebuie sa aib n vedere desfurarea prealabil de activiti de instruire care stabileasc nivelul de ateptare pentru eforturile de eradicare i refacere n caz de incident. 5. Refacerea - Principalele aspecte ale acestei faze sunt restaurarea func ionalitii i a datelor pentru sistemele afectate de incident, i ridicarea restriciilor de conectivitate impuse pe durata fazei de izolare. Organizaiile trebuie s aib n considerare scenariile cele mai nefavorabile i modul de restaurare (spre exemplu: reinstalarea de la zero a sistemelor compromise, sau pe baza unei versiuni salvate anterior). Ridicarea restriciilor de conectivitate se face atunci cnd numrul de staii compromise, sau vulnerabile este suficient de mic, iar eventuale incidente secundare au consecine reduse. 6. Activiti post-incident - Deoarece incidentele de securitate ce afecteaz sistemele pot fi destul de costisitoare, este necesar ca organizaia s analizeze atent incidentul pentru a lua msuri de mbuntire a defensivei i modului de tratare a incidentelor n scopul prevenirii unor situaii similare. Pe baza acestor msuri, se vor determina schimbri n politica de securitate, schimbri n configuraiile sistemelor, ct i amplasarea de controale de detecie i prevenire a unor ameninri de acest gen. Datorit ritmului destul de ridicat al apariiei de noi ameninri, organizaiile trebuie s stabileasc capabiliti robuste i flexibile de prevenire i tratare a incidentelor pentru a adresa att ameninrile actuale ct i cele pe termen scurt, i cu posibiliti de modificare pentru a adresa ameninri viitoare pe termen lung [PPN06-02]. Aceast competiie continu ntre ameninri i defensiv impune organizaiilor s fie la curent n privina celor mai noi ameninri i a controalelor de securitate disponibile pentru contracararea lor. 2.4.4.2 Clasificarea incidentelor Definirea unei cadru formal pentru clasificarea incidentelor va permite colectarea ntr-o manier mai eficient a elementelor caracteristice incidentului ceea ce va permite [CBU--]: O reacie mai rapid la incidente O comunicare mai bun att ntre membri echipei de rspuns la incidente, ct i n relaia cu organizaiile naionale la care se raporteaz incidentele. Posibilitatea de a analiza diferite tendine i genera statistici

65

Figura 2.6 Clasificarea incidentelor folosit de CERT US.

66

Organizaiile CERT naionale au create taxonomii pentru raportarea incidentelor, ns adopia a fost limitat doar la nivelul organizaiilor mari, din motive de complexitate, i de resurse suplimentare necesare documentrii detaliate asupra incidentului. ns cea mai important utilitate a unor astfel de clasificri formale a fost de a oferi organizaiilor o mai bun nelegere a terminologiilor precum i un cadru eficient pentru construirea programelor de educare a personalului propriu.

2.4.5 Revizuirea i actualizarea programului de monitorizare

Succesul unui program de monitorizare va fi determinat de o tratare procesual acestuia, n care strategiile i chiar programul n sine sunt reevaluate periodic, sau ca urmare a unor schimbri majore n organizaie, n modul de operare al acesteia, sau n mediul n care aceasta acioneaz. Aceast reevaluare va asigura o operare care s in seama de nivelele tolerabile de risc, relevana metricilor utilizate, mbuntirea vizibilitii asupra spaiului de ameninri, adresarea mai rapid a vulnerabilitilor, detecia i rspunsul mai rapid la incidente. Astfel, programul de monitorizare va trebui la rndul su monitorizat, astfel nct s opereze n concordan cu obiectivele organizaiei, mediul operaional, i ameninrile momentului respectiv de timp. Actualmente, multe organizaii au implementat programe de rspuns la incidente, ns continu s trateaz atacurile ca evenimente singulare fr a colecta informaii despre ele. Colectarea unor astfel de informaii ar oferi posibilitatea de a analiza evoluia n timp a ameninrilor la adresa organizaiei, precum i oportunitatea identificrii unor riscuri structurale care s poat fi evaluate n procesul de analiz a riscului. Pornind de la cadrul de lucru CERT (prezentat n seciunea precedent), compania Verizon a elaborat un cadru extins - VerIS (Verizon Incident Sharing) - ce permite colectarea i analiza ntr-o manier consistent a informaiilor despre atacuri, astfel nct organizaiile s aib o mai bun nelegere a evenimentului, precum i a impactului asupra organizaiei. Cadrul de lucru VerIS cuprinde patru seciuni, fiecare captnd aspecte diferite ale unui incident de securitate, i anume [VER10]: Aspecte demografice - cum ar fi data incidentului, localizarea geografic, tipul activitilor desfurate de organizaie Clasificarea incidentului - fiecare incident (sau scenariu de ameninare) este modelat ca o serie de evenimente. Fiecare eveniment este descris pe baza unui model de ameninare ale crui metrici (prezentate n figurile 2.7 2.10) sunt grupate n urmtoarele categorii: Asset bunul valorizat i protejat de organizaie care a fost afectat Agent entitatea ale crei activiti au afectat bunul organizaiei Action activitile efectuate sau declanate de agent care au afectat bunul Attributes atributele de securitate ale bunului care au fost afectate Descoperirea i rezolvarea - analizeaz evenimentele ce au urmat imediat incidentului i concluziile rezultate. Metricile din aceast seciune includ evoluia n timp a incidentului, modul n care incidentul a fost descoperit, resursele utilizate, controalele de securitate folosite i dac acestea au fost eficace Clasificarea impactului - detaliaz pierderile directe de bunuri (date, sisteme, etc), ntreruperi n operaiile organizaiei, costurile asociate rspunsului i

67

refacerii, precum i costurile indirecte (afectnd imaginea organizaiei sau competitivitatea acesteia) Utilizarea cadrului VerIS permite organizaiilor identificarea de trenduri pe baza crora pot lua decizii de mbuntire a strategiilor i tacticilor de securitate. Raportul de investigare a breelor de date pe care Verizon l produce anual (Verizon Data Breach Investigation Report), i care este utilizat pe scar larg de comunitatea de securitate pentru a nelege evoluia strii de securitate n Internet, utilizeaz date din rspunsurile la incident pe care Verizon le adreseaz i care sunt structurate pe baza cadrului VerIS. n mod tradiional evaluarea riscurilor are la baz scanrile de vulnerabiliti i testele de penetrare, care testeaz n mod selectiv ceea ce se poate ntmpla. VerIS poate aduce o nou dimensiune fazei de evaluare a procesului de management al riscului cea bazat pe evidene.

Figura 2.7 - Model de ameninare VerIS Metrici categoria Asset

68

Figura 2.8 - Model de ameninare VerIS Metrici categoria Action

69

Figura 2.9 - Model de ameninare VerIS Metrici categoria Agent

Figura 2.10 - Model de ameninare VerIS Metrici categoria Attributes

70

Motto: Nici o problem nu poate rezista asaltului susinut al gndirii. - Voltaire

CAPITOLUL 3

TEHNOLOGII DE MONITORIZARE A SECURITII

Exist o multitudine de instrumente i tehnologii disponibile pe care o organizaie le poate folosi eficient i eficace pentru obinerea, agregarea, analiza, i raportarea datelor cu relevan n procesul de monitorizare, ncepnd de la nivelul componentelor individuale ale infrastructurii (echipamente de reea, sisteme) i pn la nivelul managementului executiv cu atribuii de securitate.

3.1 Clase de tehnologii de monitorizare a securitii

3.1.1 Tehnologii pentru culegerea direct a datelor
Tehnologiile de culegere direct a datelor sunt cele care permit observarea, detecia, prevenirea sau jurnalizarea ameninrilor i vulnerabilitilor de securitate cunoscute, precum i managementul diferitelor aspecte ale controalelor de securitate implementate pentru a adresa acele ameninri i vulnerabiliti. Clasele de tehnologii ce faciliteaz culegerea de date utilizate n procesul de monitorizare complet a securitii sistemelor i reelelor organizaiei sunt [PPN09]: Managementul vulnerabilitilor - Scanerele de porturi i vulnerabiliti sunt instrumente utilizate adesea de agenii de ameninare n faza de pregtire a atacurilor pentru identificarea de vulnerabiliti ale echipamentelor din reea, sistemelor de operare i ale aplicaiilor uzuale. Organizaiile pot utiliza aceste instrumente pentru a identifica n mod proactiv gradul de expunere la vulnerabiliti, identificarea versiunilor software neactualizate, ct i pentru validarea conformitii cu politica de securitate [NIST SP800-40v2]. Managementul patch-urilor - Instrumentele de management al patch-urilor pot asista n identificarea automat a patch-urilor necesare pentru sistemele ce au fost identificate n prealabil avnd vulnerabiliti, i asist administratorii de sistem n implementarea procesului de patch-ing [NIST SP800-40v2]. Managementul evenimentelor i incidentelor - Monitorizarea evenimentelor din sisteme sau reele, i analiza acestora pentru a identifica indicatori ai unor posibile intruziuni constituie baza deteciei intruziunilor. Evenimente cu relevan pentru procesul de securitate sunt disponibile n fiiere de jurnalizare i traficul de reea. Instrumentele n aceast categorie sunt: sniffere, sisteme IDS de reea, sisteme IDS pentru staii, detectoare de intruziuni bazate pe fiiere de jurnalizare [NIST SP800-94] [NIST SP800-61] [NIST SP800-92]. 71

Detecia Malware - Ofer posibilitatea de a identifica i raporta prezena de virui, troieni, spyware, sau a altor categorii de cod maliios pe sau destinat sistemului int. Organizaiile amplaseaz mecanisme de detecie Malware pe sistemele aflate n punctele de intrare/ieire ale organizaiei : firewall, servere email, servere web, servere de acces de distan i sistemele utilizator din reea pentru a detecta i terge codul maliios transportat prin sistemul de pot electronic, medii externe, sau acces web. Utilizate n conjuncie cu procedurile de management al configuraiei, precum i controale de integritate a softwareului, mecanismele de detecie Malware, pot fi foarte eficiente n prevenirea execuiei de cod neautorizat [NIST SP 800-83]. Managementul configuraiei - Permite administratorilor s configureze abloane de setri, s monitorizeze schimbri ale acestora i s le restaureze atunci cnd este necesar. Managementul numeroaselor configuraii ntlnite n sisteme i elementele de reea, a devenit imposibil de realizat utiliznd metode manuale. Automatizarea soluiilor de configurare precum i a instrumentelor de scanare a configuraiei sistemelor, ofer abilitatea de a determina conformitatea cu o configuraie de referin sigur [NIST SP 800-37]. Managementul reelei - Instrumentele din aceast categorie ajut la descoperirea staiilor, inventarul acestora, controlul schimbrilor, monitorizarea performanelor. Unele instrumente automatizeaz configurarea dispozitivelor i managementul schimbrii i valideaz conformitatea dispozitivului cu politicile preconfigurate [NIST SP800-115]. Managementul inventarului de echipamente i sisteme Instrumentele din aceast categorie (adesea combinnd instrumente configurare a sistemelor, cele de management de reea, sau a licenelor) ajut la meninerea inventarului, precum i managementul modificrilor, hardware i software din organizaie [NIST SP 800-18].

3.1.2 Tehnologii pentru agregare i analiz

Aceste tehnologii colecteaz date provenind de la unul sau mai multe controale de securitate, fie direct, fie prin intermediul tehnologiilor menionate n paragraful anterior, pentru a le corela, analiza i reprezenta ntr-un format care s suporte luarea de decizii, sau evaluarea eficacitii controlului [NIST SP 800-53]. Grupele de tehnologii reprezentative din aceast clas sunt [PPN07-01]: SIEM (Security Information and Event Management) - Instrumentele SIEM sunt aplicaii centralizate de management al fiierelor log sau al alertelor generate de sistemele IDS care permit agregarea, consolidarea, auditarea i analiza nregistrrilor provenind din mai multe surse ale organizaiei. Produsele SIEM includ suport pentru mai multe tipuri de surse de nregistrri de audit cum ar fi: sisteme de operare, servere de aplicaii, i software de securitate. Serverul SIEM analizeaz datele provenind din surse multiple, coreleaz evenimentele i identific i prioritizeaz pe cele mai importante dintre ele. Cteva produse din aceast categorie ar fi: Cisco MARS, HP OpenView, IBM Tivoli, OSSIM. Console de management al securitii - Acest gen de instrumente consolideaz i comunic informaia relevant despre starea de securitate a organizaiei n timp real ctre personalul cu atribuii n zona managementului securitii (administratori de sistem, personal de securitate, i management executiv)

72

[NIST SP800-27]. Consola de securitate prezint informaii ntr-un format semnificativ i uor de interpretat.

Figura 3.1 - Exemplu consol de management a riscului (seciunea vulnerabiliti)

3.1.3 Tehnologii de automatizare

Automatizarea este o modalitate eficient pentru a realiza o monitorizare cu caracter continuu n ceea ce privete captura, corelarea, analiza i raportarea strii generale de securitate a organizaiei [NIST SP800-117]. Cteva exemple de activiti de securitate automatizate includ : Scanarea vulnerabilitilor i aplicarea patch-urilor corespunztoare. Activarea configuraiilor de securitate bazate pe setrile din ablonul de securitate construit n prealabil Scanarea gradului de conformitate cu configuraia de securitate predefinit Colectarea metricilor i msurtorilor de securitate i raportarea acestora utiliznd tehnologii de tip consol. Tehnologiile i instrumentele prezentate n acest capitol, suport o varietate de protocoale i resurse permind implementarea unor arhitecturi de monitorizare cu grad ridicat de interoperabilitate ntre componente.

3.2. Tehnologii de scanare a vulnerabilitilor

Scanarea vulnerabilitilor are la baz conceptul scanrii de porturi. Scanerul de vulnerabiliti identific staiile active i porturile deschise pe acestea, furniznd ns i informaii cu privire la vulnerabilitile asociate. Scanerele de vulnerabiliti furnizeaz urmtoarele capabiliti [NIST SP 800-115]: Identificarea staiilor active din reea Identificarea serviciilor active i vulnerabile ale unei staii Identificarea sistemelor de operare i a vulnerabilitilor asociate acestora Identificarea setrilor eronate

73

Stabilirea unei baze pentru testul de penetrare

Dintre beneficiile utilizrii acestora de ctre organizaie se amintesc [PNN10]: Reprezint instrumente proactive pentru identificarea propriilor vulnerabilitilor naintea atacatorilor Ofer informaii cu privire la modalitatea de eliminare a vulnerabilitilor descoperite Reprezint un mijloc relativ rapid i uor de utilizat cu ajutorul cruia se poate cuantifica gradul de expunere la vulnerabiliti al organizaiei Identific versiunile software ce trebuie actualizate, i n conjuncie cu instrumentele de management al patch-urilor se determin actualizrile necesare Valideaz conformitatea cu politica de securitate a organizaiei n ceea ce privete aplicaiile instalate, serviciile active, configuraiile sistemelor, etc. Dintre limitrile scanerelor de vulnerabiliti se amintesc [PNN10]: Genereaz un volum de trafic de reea mult mai mare scanerele de porturi, ceea ce necesit o planificare i utilizare adecvat pentru a nu avea impact negativ asupra activitilor operaionale ale organizaiei. Necesit actualizri constante ale bazei de date cu vulnerabiliti pentru a putea recunoate vulnerabilitile recente. Astfel, n alegerea scanerului de vulnerabiliti trebuie avut n vedere frecvena cu care actualizrile sunt disponibile Ineficiente n ceea ce privete detecia noilor tipuri de vulnerabiliti Pentru o organizaie tipic, practicile de securitate operaional curente recomand [NIST SP 800-40v2]: Scanarea de vulnerabiliti a staiilor la cel mult trei luni pentru sistemele fr importan critic pentru organizaie i infrastructur, i scanarea n regim continuu (monitorizarea permanent) a sistemelor critice (firewall-urilor, baze de date, etc). Folosirea mai multor tipuri de scanere de vulnerabiliti. O soluie poate fi o combinaie de scaner comercial i unul bazat pe surse deschise. Rezultatele obinute n urma scanrii vulnerabilitilor trebuie documentate, iar deficienele descoperite trebuie remediate dup cum urmeaz: Actualizarea sau aplicarea de patch-uri de urgen sistemelor vulnerabile pentru eliminarea vulnerabilitilor Deconectarea staiile neautorizate i dezactivarea serviciilor neutilizate Impunerea de controale de limitare a accesului la serviciile vulnerabile (la nivel de firewall, i staie), n cazul n care remedierea necesit timp, iar serviciul nu poate fi oprit. Revizuirea controalelor de securitate pentru a asigura o rat de vulnerabiliti sczut Unul din cele mai eficiente instrumente ce poate fi utilizat pentru scanarea de porturi i care posed i elemente de baz n scanarea vulnerabilitilor este Nmap [Nma--]. Nmap suport o gam variat de tehnici de scanare (ICMP, TCP, UDP), oferind totodat posibiliti avansate de identificare a protocolului serviciilor, a adreselor IP,

74

scanare ascuns, i analize de filtrare a traficului. Scanrile Nmap se desfoar n mai multe faze secveniale dup cum urmeaz : Prescanri de scripturi - motorul de scripting Nmap (MSN) utilizeaz o colecie de scripturi special destinate obinerii de informaii adiionale despre sistemele int. Este activat de opiunea sC i are loc doar cnd scripturile necesare sunt selectate (exemple de astfel de scripturi sunt: dhcp-discover i broadcastdns-service-discovery, care utilizeaz interogri de tip broadcast pentru a obine informaii de la serviciile standard de reea). Enumerarea intei - pe baza specificatorilor de staie oferii (poate fi combinaie de DNS, adrese IP, notaie CIDR), Nmap genereaz lista adreselor IP care vor fi scanate. Descoperirea staiilor - scanarea ncepe prin descoperirea staiilor active care astfel vor necesita o investigaie mai amnunit. Acest proces este numit descoperire staie (sau scanare ping). Nmap utilizeaz tehnici multiple de descoperire cum ar fi cereri ARP, sau combinaii de interogri mai elaborate bazate pe TCP i ICMP. Rezoluia DNS invers - dup determinarea staiilor ce se vor scana, vor obine numele DNS inverse ale tuturor staiilor active identificate de scanarea ping. Scanarea porturilor - este componenta principal a Nmap. Rspunsurile (sau lipsa de rspuns) asociate sondrilor trimise sunt utilizate pentru clasificarea strii porturilor (deschis, nchis sau filtrat) de pe staia int. Detecia versiunii - pentru porturile care au fost deschise, Nmap poate trimite o varietate de probe pentru a determina versiunea de software care ruleaz pe staia int, verificnd rspunsurile recepionate pe baza unei baze de date de semnturi de servicii cunoscute. Detecia sistemului de operare - are la baz caracteristici specifice de implementare ale standardelor de reea n diverse sisteme de operare. Pe baza msurrii acestei diferene este adesea posibil determinarea sistemului de operare care ruleaz pe staia int. Traceroute - Nmap conine o implementare optimizat de traceroute, identificnd n paralel rutele de reea pentru mai multe staii pe baza celor mai bune pachete de sondare generate n fazele de descoperire anterioare. Scripturi de scanare - majoritatea scripturilor motorului de scripting vor fi rulate n aceast faz, i au ca rol detectarea vulnerabilitilor serviciilor, identificarea de Malware, colectarea de informaii adiionale din bazele de date i alte servicii de reea, precum i detecia avansat a versiunii. Rezultatele de ieire - Nmap colecteaz toate informaiile obinute i le salveaz ntr-un fiier sau le afieaz pe ecran. Nessus este un pachet de testare a vulnerabilitilor ce poate realiza teste automate asupra unor reele int, incluznd scanri ICMP, TCP i UDP, testarea unor servicii de reea (Apache, MySQL, Oracle, Microsoft IIS, i altele), precum i capaciti de raportare a vulnerabilitilor identificate [Nes--]. Nessus este unul dintre cele mai utilizate instrumente de scanare i testare a reelelor. Nessus are dou componente (demon i client) ce lucreaz intr-o manier distribuit permind astfel un management i control eficient. Rapoartele generate de Nessus sunt uor de neles, concise coninnd uneori alerte de tip false pozitive, astfel fiind necesar ca personalul de securitate s parcurg manual raportul necesitnd totodat un nalt nivel de cunotine i experien. 75

Figura 3.2 Exemplu Ecran raport scanare Nessus

Metasploit Framework (MSF) este o platform avansat de tip surs deschis pentru dezvoltarea, testarea i utilizarea de programe de tip exploatare. Iniial proiectul a pornit ca un joc de reea, dar s-a dezvoltat pe parcurs devenind un instrument puternic folosit n testele de penetrare, dezvoltarea de programe de exploatare i cutarea de vulnerabiliti. Mediul i scripturile de exploatare sunt scrise n Ruby i pot rula pe aproape orice sistem de tip Unix i Windows. Sistemul nsui poate fi accesat i controlat prin intermediul unui interpretor de comenzi sau a unei interfee web [Met--]. Dintre pachetele comerciale, cel mai reprezentativ este eEye Retina [Eey--]. Acesta scaneaz vulnerabilitile unei reele dispunnd de un sistem de management al remediilor prin care descoper i asist la repararea tuturor vulnerabilitilor de securitate cunoscute ntr-un sistem. Retina este uor de configurat i include instrumente avansate de raportare pentru a ajuta la izolarea i sistematizarea remediilor necesare. n afar de faptul c dispune de cea mai complet baz de date de vulnerabiliti cunoscute, Retina dispune i de o tehnologie proprietar numit CHAM (Common Hacking Attack Methods) care emuleaz un comportament de tip hacker pentru penetrarea n adncime a reelei. n acest fel, Retina poate practic detecta vulnerabiliti ascunse sau necunoscute anterior, oferind cunotinele pentru o securizare mai bun a reelei.

3.3 Tehnologii pentru detecia intruziunilor

Domeniul deteciei intruziunilor a luat natere odat cu documentul tehnic publicat de J. Anderson n 1980. Acesta propunea primul concept de detecie a anomaliilor n care informaia de auditare putea fi folosit pentru identificarea abuzurilor ce aveau loc n sisteme [And80]. Principiul de operare al unui sistem de detecie a intruziunilor are la baz idea conform creia activitile n spaiul virtual (inclusiv cele asociate intruziunilor) nu se desfoar n vacuum, genernd indicii i urme. n multe cazuri, atacatorii personalizeaz sistemele compromise utiliznd un set propriu de aplicaii pentru a-i consolida accesul (instalarea software captur activitate tastatur, spaming, activitate botnet, etc). n mod teoretic, un sistem de calcul are posibilitatea de a detecta astfel de modificri, iar 76

sistemele IDS ncearc s implementeze aceste capabiliti i s notifice asupra celor identificate. Arhitectura de principiu a unui sistem pentru detecia intruziunilor (IDS) este prezentat n figura urmtoare.
Senzori
Reea Staii Aplicaii

Analiza
Motor pt. semnturi Motor pt. profiluri

Cunotine
Semnturi Profiluri utilizator/ sisteme/ reea

Rspuns
Alerte Rspuns activ

Figura 3.3 - Arhitectura generic a unui sistem IDS

n literatura de specialitate sunt disponibile mai multe clasificri ale sistemelor IDS, cele mai importante fiind dup proveniena datelor i dup tehnica de detecie folosit. n funcie de proveniena datelor utilizate n procesul de detecie (ceea ce dicteaz n mod implicit i amplasarea acestora), soluiile IDS se clasific n HIDS (IDS bazate pe informaii provenind de la staii) i NIDS (IDS bazate de datele de trafic din reea). Un sistem HIDS monitorizeaz starea staiei precum i aspecte ale comportamentului su dinamic cu scopul de a determina ncercri de violare a politicii de securitate a sistemului respectiv. HIDS utilizeaz n general o baz de date securizat cu obiecte sistem i atributele de referin asociate acestora (permisiune, dimensiune, date modificare, etc.). n procesul de monitorizare se compar atributele curente ale obiectelor cu cele de referin, din baza de date. Un sistem NDIS monitorizeaz pachetele de date din reea (Snort, Bro), sau statisticile de trafic furnizate de echipamentele din reea sau alte aplicaii (Novell Analyzer, Microsoft Network Monitor) pentru a determina indicatori asupra activitilor suspecte cum ar fi: scanri, propagri de viermi, atacuri DoS, etc.. n multe implementri de sisteme IDS comerciale, se combin aspecte specifice HIDS i cele NIDS, aceste implementri fiind numite i NNIDS (IDS de nod de reea). NNIDS opereaz ca un NIDS hibrid la nivel de staie ce proceseaz traficul destinat ctre maina respectiv. Aceste soluii hibride adreseaz limitrile de vizibilitate ale NIDS clasic n ceea ce privete traficul de reea criptat, oferind totodat o monitorizare eficient la nivelul serviciilor (Web, SMTP, SSH, etc.) pentru identificarea ncercrilor de violare a specificaiilor protocoalelor de nivel aplicaie [PPN07-01] . n funcie tehnica de detecie folosit, sistemele IDS au fost n mod tradiional grupate n dou clase mari: sisteme bazate pe anomalii i cele bazate pe semnturi. n timp, o serie de noi tehnici au fost recunoscute n literatura de specialitate i anume: 77

monitorizarea integritii, monitorizarea fiierelor de jurnalizare, tehnici capcan (honeypot), i tehnicile hibride. [Ame10] [Pfl11] n continuare se vor descrie tehnologii reprezentative de detecie a intruziunilor pe baza tehnicilor folosite.

3.3.1 Analiza fiierelor de jurnalizare

Analiza fiierelor de jurnalizare, denumit adesea n literatura comercial de specialitate LIDS (detecie de intruziuni bazat pe fiiere de jurnalizare) poate fi utilizat pentru a detecta utilizri necorespunztoare ale sistemelor, sau violri ale politicii de securitate. 3.3.1.1 Soluii de analiz offline Anumite soluii realizeaz analiza fiierelor de jurnalizare (log) pe o durata de timp i genereaz rapoarte care pot fi evaluate ulterior de personalul de administrare sau de securitate. Acest gen de soluii ruleaz n mod uzual zilnic i sunt benefice n identificarea evenimentelor pentru o analiz mai aprofundat de timp real. Rapoartele ofer de asemenea informaii statistice care ajut n evaluarea tendinelor (detectarea de anomali). Totui aceste soluii au limitri n ceea ce privete adresarea situaiilor ce necesit un rspuns imediat. De exemplu, dac un server web este inaccesibil, este necesar un rspuns imediat, iar identificarea acestei probleme pe baza acestui tip de soluie este inadecvat. Logwatch este o soluie ajustabil care analizeaz fiierele specificate de utilizator pe baza unor criterii alese de acesta i genereaz rapoarte. Aplicaia const ntr-un set de scripturi Perl i filtre care sunt simplu de configurat. Aceste criterii sunt furnizate ca opiuni n linia de comand. Soluia poate fi utilizat pentru analiza fiierelor de jurnalizare a programelor uzuale (cum ar fi Apache, sendmail, etc.), dar poate fi uor configurat pentru a interpreta i jurnalele altor categorii de aplicaii [Log--]. SLAPS-2 (System Log Analysis & Profiling System 2) este o colecie de programe Perl utilizate pentru filtrarea fiierelor de jurnalizare sistem ce se colecteaz pe un server central. Aplicaia produce o serie de rapoarte de analiz a operrii sistemului care pot fi trimise prin email ctre o list de utilizatori specificai. Aceast soluie adreseaz i aspecte legate de rotaia fiierelor de jurnalizare utilizate n decursul analizei [Sla--]. 3.3.1.2 Soluii de analiz online Analiza de timp real const n acele soluii care ruleaz permanent i monitorizeaz unul sau mai multe fiiere de jurnalizare. Aceste soluii au avantajul generrii n timp real de alerte cnd sunt detectate anumite evenimente, ns cele mai multe dintre soluii sunt limitate n ceea ce privete adresarea situaiilor atipice. SWatch (Simple Watchdog) a fost una din primele soluii create pentru monitorizarea fiierelor de jurnalizare. Aceasta filtreaz datele care nu satisfac soluia de filtru, i efectueaz asupra datelor rmase un set de aciuni specificate de utilizator. Cnd se identific o linie n fiierul de jurnal care satisface condiia specificat de utilizator o poate salva, sau notifica administratorii. Soluia ofer suport pentru executarea unui set de aciuni, ct i pentru ignorarea evenimentelor duplicate. Deoarece examineaz

78

secvenial evenimentele, funcia de corelaie temporar lipsete n acest caz [Swa--]. Logsurfer este o soluie mai eficient care permite schimbarea dinamic a regulilor n timp sau n funcie de contextul evenimentelor identificate. Soluia permite o multitudine de opiuni ce asigur un grad ridicat de flexibilitate, cum ar fi: specificarea de excepii, setare de timeout pentru reguli, specificarea de secvene de identificare care pot fi ignorate, trimiterea rezultatelor prin email ctre anumite maini, etc. Logsurfer+ este o extensie care permite generarea de alerte cnd se detecteaz lipsa de mesaje i permite de asemenea specificarea unui numr minim de evenimente care trebuie identificate pentru a genera o alert. Aceast ultim facilitate poate fi folosit pentru identificarea strilor anormale, ns este necesar o evaluare prealabil din partea utilizatorului pentru determinarea acestui prag de anomalie. [Dan--] SEC (Simple Event Correlator) este o soluie bazat pe surse deschise, independent de platform care poate fi utilizat pentru corelarea de evenimente. Ofer un mod flexibil de introducere a datelor (pipeuri numite, intrare standard STDIN, sau nume fiiere normale) [Sec--]. Se utilizeaz o list de reguli pe baza crora se caut potriviri n liniile de intrare. O regul SEC are urmtorul format [Ris05] Condiie de potrivire a evenimentului sunt exprimate ca expresii regulare i rutine Perl O list de aciuni - care vor fi efectuate n cazul satisfacerii condiiei de potrivire. Dintre tipurile de aciuni se amintesc: creare de contexte, invocarea unor programe externe, resetarea corelaiilor active. O valoare boolean - care controleaz aplicabilitatea regulii la un moment dat de timp. La momentul aplicrii unei reguli se poate specifica un nume de context, permindu-se astfel corelarea evenimentelor pe baz de context. Dei are reguli statice, SEC ofer operaii de corelare de nivel ridicat cum ar fi: potriviri explicite de perechi i numrarea operaiilor. Spre exemplu, pe baza regulii SingleWithThreshold se poate contoriza numrul de apariii al unui eveniment A pe durata unui interval de timp dat, iar contorul este comparat cu o valoare de prag specificat n regul. n cazul n care contorul depete valoarea de prag, o aciune se va executa. OSSEC este un sistem HIDS complex ce ofer i servicii de analiz a fiierelor de jurnalizare. Aceast aplicaie efectueaz procesarea fiierelor log n trei etape [Oss--]: Predecodare - extrage cmpuri cunoscute din fiierele log precum timpul evenimentului Decodare folosind decoderi definii de utilizator pentru a extrage informaii relevante din fiierele de jurnalizare care vor fi folosite n procesul de analiz Analiz efectueaz operaii de tip potrivire asupra informaiilor decodate pe baza unei structuri arborescente de reguli atomice sau compozite. Structura arborescent asigur utilizarea n procesul de analiz numai a sub-regulilor relevante pentru procesul de detecie respectiv. De exemplu, dac se analizeaz o intrare legat de un eveniment SSH, nu se va traversa prin sub-arborele de reguli pentru evenimente Apache. Un exemplu de procesare pe baza OSSEC a unei intrri dintr-un fiier de evenimente SSH este ilustrat n continuare. 79

3.3.1.3 Exemplu utilizare OSSEC pentru analiza fiierelor 1. OSSEC primete fiier de log SSH cu urmtoarea intrare
#intrare din fiier log Sep 14 17:32:06 mylinux sshd[1025]: Accepted password for root from 192.168.1.101 port 1618 ssh2

2. Dup predecodare se obin urmtoarele informaii

# Informaia dup pasul de pre-decodare time/date -> Sep14 17:32:06 hostname -> mylinux program_name -> sshd log -> Accepted password for root from 192.168.1.101 port 1618 ssh2

3. Decoderul SSH implicit OSSEC este definit dup cum urmeaz

# Exemplu decoder SSH <decoder name="sshd"> <program_name>^sshd</program_name> </decoder> <decoder name="sshd-success"> <parent>sshd</parent> <prematch>^Accepted</prematch> <regex offset="after_prematch">^ \S+ for (\S+) from (\S+) port </regex> <order>user, srcip</order> </decoder>

4. Dup decodare informaia arat dup cum urmeaz

# Informaia dup pasul de decodare time/date -> Sep14 17:32:06 hostname -> mylinux program_name -> sshd log -> Accepted password for root from 192.168.1.101 port 1618 ssh2 srcip -> 192.168.1.101 user -> root

5. Se definete regula de analiz 133 prin care se dorete generarea unei alerte n caz de conectare din exteriorul reelei 192.168.254.0/24 la staia cu numele mylinux.

80

# Exemplu regula analiza # atributul level reprezint gradul de severitate <rule id = "111" level = "5"> <decoded_as>sshd</decoded_as> <description>Logging every decoded sshd message</description> </rule> <rule id="122" level="7"> <if_sid>111</if_sid> <match>^Failed password</match> <description>Failed password attempt</description> </rule> <rule id="133" level="18"> <if_sid>111</if_sid> <hostname>^mylinux</hostname> <srcip>!192.168.254.0/24</srcip> <description>Problema! Cineva din exterior s-a conectat ca la serverul mylinux </description> </rule>

6. Prin aplicarea regulii 133 asupra informaiilor decodate, se va genera o alert ntruct conexiunea SSH la staia mylinux s-a efectuat de la o adres (192.168.1.101) extern. OSSEC ofer o funcionalitate de baz acceptabil datorit numrului mare de decodere i reguli pentru serviciile de baz. De asemenea, ofer posibiliti de extensie pentru analiza fiierelor de jurnalizare a aplicaiilor proprietare prin definirea de noi decodere i reguli. Totui, prezint limitri n ceea ce privete capacitatea de detecie a evenimentelor de tip necunoscut.

3.3.2 Monitorizarea integritii fiierelor

Aceast categorie de monitorizare este capabil s identifice i raporteze modificri neautorizate asupra fiierelor. Se utilizeaz pentru protecia fiierelor critice (fiiere binare aplicaie, sau fiiere de configurare a aplicaiilor i serviciilor) i care se consider a fi statice ntre activitile de actualizare a sistemului sau a configuraiilor acestuia. Aceast tehnic stabilete n prealabil o sum de verificare a fiierelor care se stocheaz ntr-o baz de date, dup care verific integritatea fiierelor monitorizate prin recalcularea sumei de verificare i compararea cu cea nregistrat iniial n baza de date. O implementare reprezentativ pentru aceast clas o reprezint aplicaia Tripwire [Kim94], al crei principiu de funcionare se regsete i n alte implementri cum ar fi AFICK [Afi--], OSSEC [Ose--]. n prim faz se creeaz politica de monitorizare a integritii prin identificarea fiierelor i directoarelor ce trebuie monitorizate, i stabilirea regulilor de identificare a intruziunilor i a nivelului de verificare a integritii sistemului - atributele de fiier ce vor fi monitorizate cum ar fi: dimensiune, id utilizator, id group, timp ultim acces, timp ultim modificare, numr de legturi, numr iNode, permisiuni, etc.. Apoi, se iniializeaz baza de date care pstreaz informaii despre starea de referin a fiierelor ce vor fi monitorizate [Kim94].

81

Pe durata monitorizrii se va compara informaia de referin (din baza de date) cu atributele de stare actual ale fiierului, iar n caz de discrepan se genereaz un raport sau o alert. Pentru o securitate sporit a mecanismului de monitorizare a integritii, Tripwire cripteaz i semneaz propriile fiiere utiliznd dou chei criptografice pentru a detecta dac a fost compromis [Tri--]: Cheia de site - protejeaz fiierul de politic i cel de configurare Cheia local - protejeaz baza de date i rapoartele de discrepan generate. Pe lng utilitatea n descoperirea intruziunilor i a breelor de securitate, monitorizarea integritii fiierelor poate servi i la eficientizarea altor procese din organizaie cum ar fi managementul modificrilor i asigurarea conformitii cu politica de securitate [Tri10].

3.3.3 Monitorizarea integritii sistemelor (detecia rootkit)

Monitorizarea integritii sistemelor are ca obiectiv detecia aplicaiilor maliioase de tip rootkit. Aceast categorie de malware permite acces privilegiat i permanent asupra unui sistem, ascunznd n acelai timp prezent sa prin modificarea unor funcii de baz ale sistemului de operare sau a altor aplicaii. n mod uzual, atacatorul va instala un rootkit n faza de preluare a controlului asupra sistemului, care i va permite mascarea intruziunii, precum i meninerea accesului privilegiat la sistem prin ocolirea mecanismelor normale de autentificare sau autorizare. Detecia rootkit-urilor este dificil de realizat, deoarece acestea sunt capabile s schimbe funciile sistemului care sunt utilizate n procesul de identificare a aplicaiilor maliioase. [But05] Detectoarele de tip Rootkit existente n momentul de fa ruleaz local pe sistemul monitorizat, n mod similar tehnologiilor de tip antivirus. Implementrile comerciale actuale efectueaz detecia pe baza tehnicilor descrise n aceast seciune. 3.3.3.1 Detectoare bazate pe semntur Aceasta este cea mai simpl tehnic utilizat n principal de aplicaiile de tip antivirus. Identificarea rootkitlui se face pe baza semnturii unice a acestuia cum ar fi o anumit secven de octei n memorie sau existena unor anumite fiiere din sistem. Chkrootkit este un exemplu de implementare care identific modificri efectuate asupra fiierelor din sistem precum i modulelor kernel ncrcabile prin identificarea anumitor secvene de octei. Se caut de asemenea prezena altor indicatori specifici cum ar fi modificri asupra unor fiiere de tip log [Chk--]. 3.3.3.2 Detectoare bazate pe integritate Aceast tehnic este utilizat pentru a crea o sum de verificare a obiectelor (fiierelor, zone de memorie) care se stocheaz apoi ntr-o baz de date. Periodic integritatea acestor obiecte sistem se verific prin recalcularea sumei de verificare i compararea cu cea nregistrat iniial n baza de date. Avantajul acestei tehnici fa de cea bazat pe semntur const n posibilitatea de a detecta tipuri necunoscute de rootkit. Implementrile n care obiectele monitorizare sunt doar fiiere, corespund cazului descris n seciune monitorizrii integritii fiierelor (3.3.2).

82

SVV (System Virginity Verifier) este un verificator de integritate a memoriei care compar componentele Windows utilizate n mod frecvent (de exemplu tabelele de funcii IRP, IDT, SSDT) cu o stare anterioar de referin valid. Acesta utilizeaz de asemenea componente euristice pentru a contoriza numrul de evenimente fals pozitive generate de aplicaii autorizate precum software-ul antivirus ce ruleaz pe sistem [Rut05-2]. 3.3.3.3 Detectoare de tip crossview Tehnica a fost propus iniial de Microsoft n proiectul Ghostbuster [Wan05] i permite detecia rootkit-urilor ascunse n diferite nivele ntre spaiul utilizator i cel kernel prin combinarea unor seturi variate de interogri ce confer perspective multiple asupra sistemului. Implementrile existente au la baz dou tipuri de scanri [Rut05-1]: Scanare inside the box - permite obinerea unei perspective de nivel utilizator prin interogarea API-urilor de enumerare OS, care se compar cu o alt perspectiv generat prin inspectarea direct a structurilor de date kernel. O diferen ntre rezultatele nivelului utilizator i cel kernel indic prezena rootkitului ntre aceste 2 spaii. Implementrile Revealer (Microsoft) i Blacklight (FSecure) utilizeaz acest tip de scanare pentru detecia proceselor i fiierelor ascunse. Scanare outside the box - compar rezultatul unei perspective de nivel kernel obinut pe sistemul verificat, cu rezultatul unei perspective similare, obinute pe un sistem neinfectat. O modalitate de a obine un sistem neinfectat este de a reboota sistemului monitorizat i ncrca un kernel neinfectat (utiliznd un mediu extern). O diferen ntre aceste dou perspective indic prezena rootkit-ului la nivel kernel. Eficacitatea acestei tehnici de detecie depinde n mare msur de modul de implementare a soluiei. O implementare pentru sisteme de tip Windows ce utilizeaz acest tip de scanare este Klister [Sec05]. 3.3.3.4 Detectoare bazate pe comportament Interceptarea apelurilor de funcii, mesajelor sau evenimentelor transferate ntre componentele software, poate constitui mijlocul prin care se poate modifica comportamentului sistemului de operare sau aplicaiilor. n literatura de specialitate, codul care se ocup cu interceptarea apelurilor de funcii, mesajelor sau evenimentelor se numete hook. VICE este un detector de rootkit pentru Windows care verific punctele de interceptare ale proceselor din spaiul utilizator ct i din cel kernel. VICE instaleaz un driver care scaneaz kernel-ul pentru identificarea elementelor de interceptare. Politica utilizat n cutarea punctelor de interceptare la nivel proces este bazat pe principiul conform cruia fiecare pointer de funcie trebuie s rezolve ctre o adres de cod n spaiul procesului sau al kernelui. n cutarea punctelor de interceptare n spaiul kernel, VICE verific urmtoarele structuri de date kernel [But04]: Tabelele IDT (Interrupt Descriptor Table) i SSDT (System Service Descriptor Table) pentru a confirma c pointerii de funcie rezolv ctre spaiul de cod kernel. Tabelele de funcii IRP (I/O Request Packet) n drivere i verific dac acestea pointeaz ctre zone de cod din spaiul driverului, iar apoi,

83

Tabele IAT(Import Address Table) i EAT (Export Address Table) din spaiul procesului pentru a identifica prezena unui element de interceptare.

Totui VICE are o rat mare de alarme false, deoarece multe aplicaii Windows ncorporeaz n construcia lor principii de interceptare. Patchtfinder utilizeaz o metod de creare a profilului cii de execuie la momentul rulrii. Idea acestei soluii are la baz observaia c rootkitul trebuie s adauge cod la o anumit cale de execuie pentru efectuarea unor activiti adiionale [Sec04]. Acesta utilizeaz trstura procesoarelor X86 de contorizare a numrului de instruciuni executate. Tehnica are cteva limitri n ceea ce privete: Performanele sistemului - modul de execuie al procesorului va necesita oprirea rulrii dup fiecare instruciune i apelarea unei rutine de ntrerupere de serviciu pentru actualizarea contorul de instruciune. Acurateea alertelor - metoda conduce ctre un comportament nedeterminist cnd este utilizat n sisteme de operare complexe (precum Windows) datorit ntreptrunderilor cilor de control, ceea ce conduce ctre alarme false [Rut04] .

3.3.4 Detecia intruziunilor cu sisteme capcan (honeypot)

Honey-pots reprezint o tehnic flexibil utilizat n principal de companiile de produse antivirus i agenii guvernamentale pentru culegerea de informaii despre noile tipuri de ameninri. n principiu, se monitorizeaz un spaiu de adrese neutilizat n activitatea normal (numit n literatura de specialitate i Black Hole), iar identificarea de trafic destinat ctre acest spaiu reprezentnd un atac n curs de desfurare. Spre deosebire de sistemele de detecie clasice, al cror rol este de a identifica intruziuni n curs de desfurare pentru a le stopa, sistemele capcan au fost create pentru a capta atacurile direcionate asupra organizaiei, protejnd sistemele reale i oferind totodat informaii despre atacatori i metodele folosite. Performana unui honeypot depinde de modul de adresare n cadrul implementrii a unor probleme pe care le poate prezenta un astfel de sistem, cum ar fi [Coh05]: Identificarea. Sistemele de tip capcan ofer mai mult sau mai puin interaciune i pot rspunde mai multor obiective cum ar fi ncetinirea propagrii atacurilor pe baz de viermi, detectarea acceselor neautorizate, colectarea de informaii despre atacatori. Valoarea sistemelor capcan este diminuat dac identitatea lor real este divulgat. Odat detectat, un atacator poate s evite sistemul capcan, sau s-l alimenteze cu informaii false, derutante. Exceptnd cazul cnd o organizaie face cunoscut faptul c utilizeaz sisteme capcan pentru a descuraja atacurile asupra sistemelor sale, este important ca sistemul capcan s nu fie detectabil. Chiar dac este identificat, el poate avea un rol n infrastructura de securitate, semnalnd atacul asupra reelei interne prin acionarea unei alarme. n cazul n care se dorete mai mult dect att, colectarea de informaii despre atacator i metodele folosite, programul pentru emularea capcanei trebuie modificat. Cu ct comportamentul sistemului capcan este modificat mai mult fa de parametrii implicii definii de productor, determinnd rspunsuri neateptate de atacatori, cu att scad ansele ca identitatea acestuia s fie relevat. Exploatarea. Chiar i n cazul unor sisteme capcan cu interaciune sczut, ce nu ofer un sistem real ce poate fi compromis, ci emuleaz doar nite servicii, exist riscul ca aceste sisteme s fie compromise. Din acest motiv se impune o securizare maxim 84

sistemului de operare, pe care este instalat aplicaia capcan, prin aplicarea patchurilor i modificarea parametrilor implicii de acces: servicii, conturi, parole, resurse partajate n reea. Ca msur suplimentar este recomandat instalarea unui firewall local pe maina care ruleaz aplicaia capcan. Sistemele capcan cu nivel ridicat de interaciune, care ofer un mediu real la dispoziia atacatorilor trebuie protejate prin sisteme externe de protecie: limitarea benzii de comunicaie, instalarea unui sistem de detectare a intruziunilor, monitorizarea atent a tuturor aciunilor ntreprinse asupra sistemului capcan. Relevana. Majoritatea atacurilor, mai ales cele venite din exterior prin Internet sunt efectuate prin instrumente automate care ncearc s exploateze vulnerabiliti publice. Aceste atacuri pot fi relativ uor contracarate prin aplicarea unor msuri elementare de securitate cum ar fie modificarea parametrilor implicii de acces, instalarea unui firewall i a unui sistem de detectare a intruziunilor. Ameninarea serioas o prezint atacurile lansate de persoane cu cunotine avansate, care au informaii despre vulnerabiliti nc nedescoperite de productorii de software, i pentru care nu exist patchuri disponibile. Pentru a surprinde astfel de atacuri este necesar ajustarea particular a sistemului capcan pentru fiecare tip de atac ce se dorete a fi capturat. De exemplu, pentru a depista i demonstra o eventual fraud de date (cum ar fi efectuarea unei copieri neautorizate de numere de cri de credit), activitile detectate de scanare a reelei i penetrarea sistemului de acces la serverul capcan nu identific implicit i tentativa de furt a datelor. Aceast tentativ de fraud nu va fi captat dac sistemul capcan nu simuleaz valoarea cutat de infractor: baza de date central a sistemului de cri de credit. Rezolvarea acestui impediment, a lipsei de relevan a informaiilor oferite de capcan, va necesita particularizarea sistemului capcan astfel nct s poat obine probe solide (i din punct de vedere juridic) n ceea ce privete scopul atacatorului.

3.3.5 Detecia pe baz de anomalii

Detecia anomaliilor nu vizeaz intruziunile cunoscute, ci anormaliti n traficul de reea i al comportamentului sistemelor. Construcia unui astfel de detector ncepe prin crearea unor cunotine (profiluri de metrici) a ceea ce nseamn trafic normal, i a pragurilor de deviaie sau altor reguli pe baza crora se vor genera alerte. Actualizare profiluri
Date intrare Profiluri sistem
Deviaie statistic

Posibil atac

Generarea dinamic de profiluri noi

Figura 3.4 - Modelul general al unui detector de anomalii

Sistemele de detecie bazate pe anomalii se clasific dup cum urmeaz: A. Sisteme cu auto-instruire - sunt cele care pe baza observrii traficului sau activitii sistemului pe o durat mai lung de timp sunt capabile s construiasc profiluri a ceea ce reprezint normalitatea.

85

Serii atemporale reprezint detectorii care modeleaz comportamentul normal al sistemului pe baza utilizrii unui model stocastic care nu ia n calcul evoluia seriilor temporale. Modelarea regulilor sistemul studiaz traficul i formuleaz un set de reguli care descriu operarea normal a sistemului sau reelei. n faza de detecie, sistemul aplic regulile i genereaz alarm n cazul unei deviaii a caracteristicilor traficului observat fa de setul de reguli. Statistici descriptive sistemul colecteaz ntr-un profil statistici simple, descriptive, mono-mod pe baza unor parametrii ai sistemului, i construiete un vector distan pentru traficul observat i profil. Dac distana este suficient de mare, sistemul va genera alarm. Serii temporale Acest model este mult mai complex, lund n considerare evoluia seriilor temporale. Exemple de astfel de tehnici ar fi: lanuri Markov ascunse, reele neurale artificiale, etc. Reeaua neural artificial (RNA) este un exemplu de modelare de tip black-box. Traficul normal al sistemului este pus la dispoziia RNA, care nva caracteristicile traficului normal. Ieirea este aplicat traficului curent i este utilizat pentru formarea deciziei legat de detecia intruziunii, sau este transmis unui sistem expert de nivel superior pentru a lua decizia final.

B. Sisteme programate sistemele din aceast clas necesit o entitate extern (utilizator, administrator, etc.) pentru a instrui sistemul s detecteze anumite evenimente ce caracterizeaz anomalii. Statistici descriptive sistemele construiesc un profil de comportament normal statistic pentru parametrii sistemului prin colectarea de statistici descriptive pentru un numr de parametrii (de exemplu: numr de ncercri de login euate, numrul de conexiuni de reea, numrul de comenzi ce returneaz erori, etc.) Statistici simple statisticile colectate sunt utilizate de componente de nivel superior pentru a lua decizia de detecie a intruziunii. Bazate pe reguli simple utilizatorul furnizeaz sistemului reguli simple pentru a fi aplicate statisticilor colectate. Bazate pe prag acesta este cel mai simplu exemplu de detector programat ce utilizeaz statistici descriptive. Odat ce sistemul a colectat suficiente date, utilizatorul poate programa praguri predefinite (sub forma unor intervale simple) pe baza crora se vor genera alarme (de exemplu: numrul de ncercri nereuite consecutive > 3). Interzice implicit idea de baz pentru aceast clas este de a specifica n mod explicit circumstanele n care sistemul observat opereaz ntr-o manier de securitate sporit i s raporteze toate deviaiile de la acest mod de operare ca intruziuni. Aceasta reprezint o corespondena clar cu o politic de securitate de tip interzice implicit ceea ce nu e permis n mod explicit. Modelarea seriilor de stare n acest caz, politica pentru operarea ntr-un mod de sporit de securitate este codat ca un set de stri. Tranziiile ntre stri sunt implicit n model, i nu explicit ca n cazul codrii unei maini de stare n shell-ul unui sistem expert. Ca n orice main de stare, odat ce se verific o stare, motorul de detecie a intruziunii ateapt realizarea urmtoarei tranziii. Dac aciunea monitorizat (de exemplu: accese la fiier, deschiderea unor porturi de comunicaie ce prezint interes deosebit) solicit 86

o tranziie care nu este specificat n mod explicit, se va genera o alarm. Motoarele de verificare a regulilor sunt simple, ns nu la fel de puternice ca n cazul unui sistem expert. n continuare se prezint o serie de sisteme de detecie bazate pe anomalii. 3.3.5.1 IDES Sistem expert pentru detecia n timp real a intruziunilor IDES este un sistem clasic pentru detecia intruziunilor, fiind i unul din cele mai documentate [LJL88, LTG92]. Sistemul a fost dezvoltat de SRI International pentru a testa modelul [Den87]: Reprezint utilizatori, sesiuni de login, i alte entiti ca o secven ordonat de statistici <q0,j, .., qn,j>, unde qi,j (statistica i pentru ziua j) este un numr sau interval de timp. Comportamentul recent are preferin ridicat fa de cel vechi Ak,j este suma valorilor ce determin metrica statisticii k n ziua j qk,l+1= Ak,l+1 Ak,l + 2-rt *qk,l , unde t este numrul de intrri de log sau timp total, iar r un factor ajustat experimental Conceptul de baz care st n spatele IDES este c utilizatorii au un comportament relativ stabil n timp atunci cnd i desfoar activitile pe un sistem de calcul, iar comportamentul lor poate fi reprezentat pe baza unor diferite statistici. Activitatea curent a sistemului este corelat cu profilul calculat, iar deviaiile sunt raportate drept intruziuni. IDES proceseaz fiecare nou nregistrare de audit pe baza profilurilor utilizator i de grup. De asemenea, odat ce sesiune se ncheie, aceasta este verificat pe baza profilurilor cunoscute.

Figura 3.5 - Arhitectura IDES

87

3.3.5.2 Wisdom & Sense Detecia activitilor anormale n sesiuni de lucru pe staii Sistemul utilizeaz o abordare unic n ceea ce privete modul de detecie a anomaliilor, prin studierea datelor de audit istorice pentru a produce reguli ce descriu tipul de comportament normal (de aici i denumirea de wisdom). Aceste reguli sunt apoi introduse ntr-un sistem expert care evalueaz datele de audit recente pentru a determina violri ale acestor reguli i genereaz alerte cnd regulile indic comportament anormal (sense) [VL89]. 3.3.5.3 Computer Watch Aceast aplicaie a fost dezvoltat de Departamentul de Securitatea Sistemelor din cadrul AT&T ca un pachet adiional pentru System V/MLS (o versiune de UNIX sistem V n clasa de securitate B1 dup Common Criteria). Aplicaia opereaz asupra datelor de audit i ofer utilizatorului un sumar asupra activitii sistemului, pe baza cruia acesta poate decide dac este necesar investigarea statisticilor ce par anormale. Aplicaia ofer i mecanismele prin care se pot face interogri la date de audit pentru obinerea de detalii asupra activitilor suspecte [DR90]. 3.3.5.4 NADIR Sistem automat pentru detecia abuzurilor i intruziunilor n reea Dezvoltat la laboratorul naional de la Los Alamos pentru uz intern (astfel c adreseaz probleme i cerine specifice acelei organizaii), NADIR a fost implementat pe o staie SunSPARC utiliznd un sistem de baze de date relaional Sybase. Sistemul colecteaz date de audit de la trei tipuri de noduri de serviciu, care sunt apoi procesate nainte de a fi introduse n baza de date ca informaie de audit. Fiecare nregistrare de audit introdus n sistem corespunde unui eveniment specific i conine urmtoarele informaii: data i timp, identificator de utilizator, eveniment, parametru de nregistrare, cod de eroare. Sistemul determin sptmnal profiluri individuale ale utilizatorilor ce sintetizeaz comportamentul utilizatorului. Aceste profiluri sunt comparate pe baza unui set de reguli de sistem expert determinate pe baza urmtoarelor surse: Experi de securitate i politica de securitate Analiza statistic a nregistrrilor de audit din sistem Sistemul produce o serie de rapoarte despre activitatea sa, pe baza crora se pot efectua investigaii mai amnunite. [JDS91, HJS+93] 3.3.5.5 Hyperview Component de reea neuronal pentru detecia intruziunilor Acest sistem are dou componente majore: un sistem expert uzual care monitorizeaz informaia de audit pentru a identifica caracteristici pentru intruziunile cunoscute, i o component bazat pe reele neuronale (ARN) care nva adaptiv comportamentul utilizatorului i genereaz alarme cnd informaia de audit deviaz de la comportamentul deja nvat.

88

Figura 3.6 - Arhitectura Hyperview

Decizia de a utiliza ARN pentru a implementa funcia de detecie a anomaliilor pe baz statistic, se bazeaz pe urmtoarele ipoteze legate de caracteristicile informaiei de audit: informaia de audit reprezint o serie temporal multivariat, n care utilizatorul constituie procesul dinamic care emite o serie de evenimente ordonate secvenial. nregistrarea de audit care reprezint un eveniment const din dou tipuri de variabile: variabile cu valori dintr-un set finit (de exemplu: nume de staii) i variabile de valoare continu (de exemplu: utilizarea CPU) Seriile temporale au fost asociate intrrilor n ARN, iar o parte din ieirile reelei au fost conectate la intrare (ceea ce creeaz memoria intern n reea). ntre evaluri, datele din seriile temporale sunt introduse n reea realizndu-se percepia trecutului. ARN este conectat la dou sisteme expert: unul monitorizeaz operarea, instruirea reelei (prevenind nvarea eronat), i evalueaz ieirea acesteia; iar cellalt scaneaz informaia de audit pentru a identifica anumii indicatori ai atacului. Decizia de generare a unei alerte se genereaz pe baza ieirii din ambele sisteme expert [DBS92].

89

3.3.5.6 DPEM Monitorizarea distribuit a execuiei unui program. Metodele de detecie prezentate anterior se bazeaz cunoaterea caracteristicilor din atacuri precedente. Autorul acestui sistem propune o abordare diferit detecia intruziunilor urmrete evoluia corect a securitii sistemului, sau mai precis, a aplicaiilor privilegiate ce ruleaz pe sistemul respectiv. DPEM [Ko96] citete specificaiile de securitate pentru un comportament acceptabil al aplicaiilor privilegiate, i verific dac exist violri ale specificaiilor de securitate n informaia de audit. Prototipul DPEM monitorizeaz execuia programelor ntr-un sistem distribuit prin colectarea de urme ale execuiei de pe diverse staii. Arhitectura sistemului cuprinde urmtoarele componente: centralizator, un manager de specificaii, dispeceri de urme, colectori de urme i analizatori distribuii pe staiile din reea.

3.3.6 Detecia bazat pe semnturi

Detecia bazat pe semnturi determin intruziunile pe baza cunotinelor unui model al procesului intruziv i a urmelor care trebuie lsate n sistemul observat. Detectorii ncearc s determine intruziunile urmrind anumite indicii care au fost determinate n prealabil de proiectanii sistemului, fr a avea ns informaii despre ceea ce ar nsemna condiiile normale de trafic. Aceasta impune cerine stricte asupra modelului naturii intruziunii. O varietate de tehnici au fost utilizate pentru modelarea i recunoaterea caracteristicilor atacului: sisteme expert, analiza semnturii, reele Petri, analiza tranziiilor de stare i algoritmi genetici. Elementul comun al acestor tehnici l reprezint faptul c se ncearc reprezentarea caracteristicilor eseniale ale atacurilor cunoscute astfel nct variaii ale atacului pot fi identificate. Orice ce nu este identificat ca atac, este considerat a fi normal.
Modificare reguli existente Date intrare Profiluri sistem
Regula Verificat

Posibil atac

Informaie de sincronizare

Adugare reguli

Figura 3.7 - Modelul general al unui detector pe baz de semnturi

Sistemul de detecie este programat cu o regul de decizie explicit, unde programatorul a pre-filtrat zgomotul din spaiul de observare. Codul corespunztor regulii de detecie conine elemente de identificare clare care trebuie observate n cazul intruziunii. Sisteme de detecie bazate pe semnturi se clasific dup cum urmeaz: A. Sisteme bazate pe modelarea strilor intruziunea este codificat ca un numr de stri diferite, fiecare din ele trebuind a fi prezente n spaiul de observare pentru a se considera c intruziunea are loc. Prin natura lor, acestea sunt modele de serii temporale pot fi grupate n dou clase:

90

Tranziii de stare strile care alctuiesc intruziunea formeaz un lan simplu care trebuie s fie traversat de la un capt la cellalt. Reele Petri strile formeaz o structur arborescent generic, n care anumite stri preparatorii pot fi ndeplinite, indiferent de ordine i de poziia n model.

B. Sistem Expert - este destinat s evalueze starea de securitate a sistemului pe baza unui set de reguli ce descrie comportamentul intruziv. Adesea, sunt utilizate aplicaii de tip nlnuire nainte (forward-chaining), considerate a fi o alegere potrivit pentru sistemele n care se introduc n mod constant evenimente de audit. Aceste sisteme expert ofer flexibilitate, permind accesul utilizatorului la mecanisme foarte puternice cum ar fi unificarea. Aceste faciliti vin adesea n detrimentul unei scderi a vitezei de execuie n comparaie cu metodele mai simple. C. Sisteme bazate pe string matching este o metod simpl, de verificare a subirurilor de caractere din fluxul de date transmis ntre sisteme. Avantajul su const n simplitatea implementrii i se bazeaz pe algoritmii descrii n paragraful 4.6. D. Sisteme bazate pe reguli simple sunt similare sistemelor expert puternice, dar nu sunt la fel de avansate. Au ns o execuie mai rapid. n continuare se prezint o serie de sisteme de detecie bazate pe semnturi.

Figura 3.8 - Arhitectura USTAT

3.3.6.1 USTAT Analiza tranziiilor de stare [IKP95] Analiza tranziiilor de stare presupune c sistemul se afl iniial ntr-o stare de securitate, iar ca urmare a penetrrilor, modelate ca tranziii de stare, poate ajunge ntro stare final sinonim cu compromiterea. Sistemul preia de la utilizator specificaiile

91

tranziiilor de stare necesare pentru realizarea intruziunii, dup care evalueaz informaia de audit n conformitate cu aceste specificaii. Utilizatorul specific comportamentul intruziv pe care IDS ar trebui s-l detecteze ca o secven de tranziii de stare specifice. Ipotezele de operare a acestui model bazat pe analiza tranziiilor de stare sunt: Intruziunea trebuie s aib efect vizibil asupra strii sistemului Efectul vizibil trebuie s fie recunoscut fr cunotine din exterior (cum ar fi identitatea adevrat a atacatorului) Un impediment al modelului este c nu toate intruziunile ndeplinesc aceste condiii (de exemplu atacatorii care sunt impostori, ce utilizeaz un cont i o parol valide obinute n mod fraudulos). Un exemplu de scenariu de penetrare UNIX BSD 4.2 ce poate fi utilizat de atacator s obin privilegii administrative, i diagrama de tranziii de stare corespunztoare, sunt prezentate n tabelul i figura urmtoare.
Pas Comanda 1 % cp /bin/csh /usr/spool/mail/root 2 % chmod 4755 /usr/spool/mail/root 3 % touch x 4 %mail root < x 5 %/usr/spool/mail/root 6 Root % Descriere Presupune ca nu exist fiierul de mail pentru root Creeaz un setuid file Creeaz un fiier gol Mail fiierul x ctre root Execut shell ce permite accesul root
Tabel 3.1 Scenariu de penetrare

Figura 3.9 - Diagrama de tranziii de state corespunztoare scenariului de atac din Tabelul 3.1.

3.3.6.2 IDIOT - Intrusion Detection In Our Time Modelul sistemul se bazeaz pe reele Petri colorate pentru detecia de intruziunilor. Autorii propun o abordare structurat n aplicarea tehnicilor bazate pe semnturi n rezolvarea problemei deteciei intruziunilor [Kum95].

92

Modelul presupune c atacul este caracterizat de urmtoarele trsturi: Existen : atacurile genereaz urme (fiiere, sau alte entiti) Secven : atacul cauzeaz cteva evenimente secvenial Ordine parial: atacul cauzeaz dou sau mai multe secvene de evenimente care sunt n ordine parial n coordonate temporale. Durat: are durat limitat n timp Interval: evenimentele sunt distanate n timp Modelul definete un eveniment ca fiind una sau mai multe aciuni ce genereaz o singur nregistrare. Secvenele de evenimente pot fi ntreesute. Reeaua Petri va captura urmtoarele informaii: Fiecare semntur corespunde unui anumit CPA (Colored Petri Automaton) Nodurile sunt token-uri, arcele sunt tranziii Starea final a semnturii este cea de compromitere Adugarea de noi semnturi se poate face n mod dinamic, iar ordonarea CPA-urilor permite stabilirea ordinii de verificare a semnturilor de atac.

Figura 3.10 Semntur de intruziune reprezentat printr-o reea Petri

3.3.6.3 Snort Snort este o aplicaie pentru analiza de pachete multimod care poate fi folosit ca: sistem de colectare i procesare a pachetelor de trafic, sistem IDS, aplicaie pentru investigaii post-incident. Este foarte simplu (sursa are aproximativ 800kB), portabil (ruleaz pe majoritatea versiunilor de UNIX, Linux i Windows), destul de rapid (are o probabilitate ridicat de detecie a atacurilor cunoscute n reele de 1Gbps), configurabil (limbaj simplu pentru descrierea de reguli). Snort este totodat standardul de facto pentru IDS de reea din surse deschise, fiind foarte bine documentat. Versiunile Snort 2.x ofer o mbuntire a funciei de pattern-matching i detecie prin utilizarea unor algoritmi mai performani cum ar fi: Aho-Corasick sau Horspool. Actualmente Snort ofer suport doar pentru protocoalele uzuale de nivel 2-4 din 93

reelele TCP/IP (Ethernet, FDDI, Frame Relay, SLIP, PPP, ISDN, IP, ARP, TCP, UDP, ICMP), dar prin adugarea de noi decodere de tip plug-ins
Snort
Captur
Decoder pachete Pre-procesor (Plug-ins)

Alert tcp 1.1.1.1 any -> 2.2.2.2 Alert tcp 1.1.1.1 any -> 2.2.2.2 Alert tcp 1.1.1.1 any -> 2.2.2.2

Figura 3.11 - Exemplu de regul formulat de utilizator

Flux de pachete

Flux Date

Motor de detecie
Component livrare

(Plug-ins)

Alerte/Lo g

Figura 3.15 - Arhitectura Snort

Antet regul

Opiuni
(flags: SF; msg: SYN-FIN (flags: S12; msg: Queso (flags: F; msg: FIN

3.3.6.4 OSSEC OSSEC este un sistem de detecie care ofer servicii de tip analiz de fiiere de jurnal, verificare integritate, detecie Rootkit, alerte pe baz de timp i rspuns activ. Arhitectural, soluia const dintr-o serie de agenii care colecteaz i transmit evenimentele ctre un server central. Aplicaia suport formate multiple de fiiere syslog, apache, snort, etc., iar evenimentele sunt procesate pe baz de reguli specificate n format XML.

Figura 3.12 Operarea OSSEC n modul server

94

OSSEC are dou moduri de operare: client/server (pentru o analiz centralizat) i local (cnd se monitorizeaz un singur sistem) Procesele interne OSSEC sunt: Analysisd este procesul principal, i este responsabil cu analiza datelor Remoted Recepioneaz fiierele de jurnalizare de la agenii ce ruleaz pe alte staii. Ruleaz implicit pe port UDP 1514, i i pentru comunicaia cu agenii OSSEC, canalul este criptat (folosind algoritmul blowfish i chei partajate) i traficul comprimat (folosind zlib).Pentru compatibilitate extins, clienii tradiionali syslog Logcollector consolideaz fiierele log (syslog, evenimente Windows, fiiere text, etc) Agentd expediaz fiierele de jurnalizare ctre server-ul OSSEC. Canalul de comunicaie dintre agent i server este criptat (folosind algoritmul blowfish i chei partajate), iar traficul este comprimat (folosind zlib). Maild transmite alertele email ctre utilizatori Execd Execut rspunsurile active asociate regulilor de detecie Monitord monitorizeaz starea agenilor, comprim i semneaz digital fiierele de jurnalizare Ossec-control efectueaz managementul proceselor OSSEC cum ar fi pornirea i oprirea lor. 3.3.6.5 RIPPER (Real Time Data Mining-based Intrusion Detection) Idea central a acestui sistem este utilizarea programelor de audit pentru extragerea de informaii detaliate ce descriu fiecare conexiune de reea sau fiecare sesiune pe o staie, i aplicarea programelor de data-mining pentru a nva reguli care captureaz comportamentul intruziv i activitile normale, i care reguli pot fi utilizate pentru detecia pe baz de semnturi i cea de anomalii [Lee99]. Data-mining se refer n general la procesul de extragere de modele descriptive din volume mari de date i utilizeaz o varietate de algoritmi din domeniul statisticii, pattern-matching, nvarea mainilor i baze de date.

Figura 3.13 Arhitectura RIPPER

95

3.3.7 Sisteme IDS Hibride

Sisteme din aceast categorie utilizeaz tehnici combinate (prezentate n seciunile 3.3.5 i 3.3.6) n procesul de detecie a intruziunilor. Majoritatea sistemelor comerciale actuale utilizeaz tehnici hibride de bazat pe anomalii i semnturi. Sistemele prezentate n aceast seciune, au fost identificate pe baza reprezentativitii conceptelor utilizate n tehnicile de detecie. 3.3.7.1 Haystack Prototipul Haystack [Sma88] a fost conceput pentru detecia intruziunilor ntr-un sistem multi-user al US Air Force (Unisys 1100/60 mainframe ce rula OS/1100). Detec ia intruziunilor se efectua pe baza deteciei de anomalii i de semnturi. Detecia de anomalii era organizat n jurul a dou concepte: modele utilizator definite pe baza comportamentului trecut al acestora, i modele generice pentru grupe specifice de utilizatori ce definesc comportamentul acceptabil pentru utilizatorii grupului respectiv. Modelul matematic utilizat de sisteme este urmtorul: <A0, .., An >, unde Ai este statistica i (valoare sau interval de timp) Se definesc TL i TU astfel nct 90% din valorile Ai [TL , TU] Sistemul calculeaz An+1 i genereaz anomalie dac nu se verific c Ai [TL , TU]. Se actualizeaz limitele TL , TU . 3.3.7.2 MIDAS: Sistem expert pentru detecia intruziunilor MIDAS [SSHW88] a fost dezvoltat de National Computer Security Centre (NCSC) n cooperare cu SRI International n scopul deteciei de intruziuni n mainframe-ul NCSC. MIDAS implementeaz o detecie a intruziunilor de tip euristic. Autorii au modelat sistemul plecnd de la activitile desfurate de un agent de securitate uman pentru a determina intruziunea pe baza analizei fiierelor de log. MIDAS utilizeaz un sistem expert, P-BEST, (Production Based Expert System Toolset) pentru detecia intruziunilor. Baza de reguli este organizat pe dou niveluri. Primul realizeaz deducia imediat a anumitor tipuri de evenimente cum ar fi numrul de ncercri de login euate, i le asociaz o categorie de suspiciune. Nivelul urmtor de reguli realizeaz procesarea acestor suspiciuni pe baza crora decide declanarea unei alarme. 3.3.7.3 NSM Network Security Monitor Acesta a fost primul sistem care a utilizat direct traficul de reea ca surs de date de audit i este precursorul NSM actuale. NSM ascult n mod pasiv traficul de reea LAN i deduce pe baza analizei acestuia caracteristicile comportamentul intruziv. [HDL+90, MHL94]. NSM are o arhitectur pe mai multe niveluri: Nivelul conexiune este responsabil pentru studiul datelor din reea i ncercarea de a forma perechi de canale de comunicaie bidirecional ntre grupe de staii. Vectorul de conexiune grupeaz mai multe conexiuni 96

Sistem expert simplu utilizeaz ca intrare vectori conexiune, vectori staie, profiluri de trafic normal (volume de date ntre staii, protocoale utilizate), cunotine de protocol (telnet, sendmail) i analizeaz datele pentru a determina indicii de comportament intruziv.

Datele sunt prezentate utilizatorului la consol sub forma unei liste sortate ce cuprinde vectorul de conexiune i un nivel de suspiciune determinat de sistemul expert. Rezultatele sunt arhivate ntr-o baz de date pentru suportul unor eventuale investigaii ulterioare. 3.3.7.4 NIDES Next Generation Intrusion Detection System NIDES [AFV95] este succesorul proiectului IDES i urmrete aceleai principii generale ca ultima versiune de IDES (are component solid de detecie a anomaliilor, dublat de o component de sistem expert bazat pe semnturi - PBEST). NIDES este construit pe o arhitectur client-server, este modularizat, avnd interfee bine definite ntre componente. Sistemul este centralizat, putnd efectua analiza pe o anumit staie numit NIDES host. Staiile int colecteaz datele de audit din diverse surse cu informaii de log de staie i de reea. 3.3.7.5 JiNao Detecia scalabil a intruziunilor pentru infrastructuri de reea critice Acest sistem [JCS97] are rolul de protecie a infrastructurii de reea ce utilizeaz OSPF. Modelul de ameninare presupune c anumite entiti care asigur rutarea pot fi compromise, cauznd stoparea sau deturnarea traficului. Detecia intruziunilor este operat utiliznd trei modele bazate pe: anomalii, semnturi i violri de protocol. 3.3.7.6 EMERALD Event Monitoring Enabling Responses to Anomalous Live Disturbances EMERALD [PV98] a fost conceput ca o arhitectur scalabil, distribuit de detecie a intruziunilor pe staii i n reea. Arhitectura conine i componente care permit sistemului s rspund n mod activ n principal la ameninrile ce vin din exteriorul organizaiei. Arhitectura vizeaz o reea de organizaie larg, compus din domenii cu relativ separaie administrativ, i cu niveluri de ncredere diferite inter-domenii. Autorii propun un sistem distribuit care opereaz pe trei niveluri distincte: Analiza de servicii ce acoper abuzurile componentelor individuale i serviciile reelei n limitele unui domeniu. Obiectivul acesteia este de a simplifica i descentraliza monitorizarea interfeelor de reea ale unui domeniu n scopul identificrii activitilor care indic abuzuri sau anomalii semnificative n operare. Elementele de arhitectur care asigur aceast funcionalitate sunt monitoarele de serviciu, care realizeaz o analiz local de timp real a infrastructurii (rutere, gateways) i serviciilor (subsisteme privilegiate cu interfee de reea). Monitoarele pot interaciona n mod pasiv cu mediul (de exemplu: citirea fiierelor de log), sau activ (prin sondare n vederea obinerii de informaii adiionale). Informaia disponibil la nivelul unui monitor local poate fi pus la 97

dispoziia altor monitoare pe baza unui mecanism de comunicaie bazat pe subscripii. Analiza la nivel de domeniu acoper abuzurile vizibile ntre servicii multiple i componente. Un monitor de nivel domeniu este responsabil pentru monitorizarea unei pri sau a ntregului domeniu. Acesta coreleaz informaiile de intruziune oferite de monitoarele de serviciu, oferind astfel o perspectiv mai bun asupra activiti maliioase la nivelul domeniului. Monitoarele de domeniu ndeplinesc i alte funcii cum ar fi: asigur reconfigurarea parametrilor sistemului, realizeaz interfaa cu alte monitoare din afara domeniului i raporteaz administratorilor ameninrile la adresa domeniului. Analiza de nivel organizaie care vizeaz abuzurile coordonate asupra mai multor domenii. Monitoarele de organizaie coreleaz rapoartele de activitate produse de un grup de domenii monitorizate i vizeaz n principal ameninrile de nivel global cum ar fi: atacuri DDoS i viermi, atacuri repetate mpotriva serviciilor de reea interdomenii, precum i atacuri coordonate din mai multe domenii asupra unui singur domeniu. Prin corelaii i publicarea ctre alte monitoare a rezultatelor de analiz, se realizeaz distribuirea la nivelul organizaiei a informaiei legate poteniale ameninri globale. Capacitatea sistemului de a realiza analiza evenimentelor inter-domenii este vital n contextul unor atacuri pe scar global, cum ar fi cele din clasa rzboiului informaional.

Figura 3.14 Arhitectura generic a Monitorului EMERALD

98

Figura 3.15 Structura generica a obiectului resurs EMERALD

3.3.7.7 Bro Bro este un sistem pentru detecia n timp real a intruziunilor n reea prin monitorizarea pasiv a legturii de reea prin care se circul traficul de atac [Pax88]. Obiectivele urmrite de autor n proiectarea acestui sistem au fost: Abilitatea sistemului de a realiza o monitorizare de volum mare Procesarea rapid a pachetelor de intrare pe senzor astfel nct s se evite pierderea de date. Notificarea n timp real a utilizatorului asupra ncercrilor de atac sau a atacurilor n curs de desfurare Separarea mecanismului de politic, fcnd astfel posibil actualizarea politicilor de securitate Sistemul va fi extensibil fiind posibil adugarea de cunotine despre tipuri noi de atac Sistemul va ajuta utilizatorul n a evita efectuarea de erori n procesul de specificare a politicii de securitate Caracteristicile sistemului ar putea fi sintetizate dup cum urmeaz: Componentele majore sunt: motorul de evenimente (de analiz a protocolului) i interpretorul scripturilor de politici. Permite cutri pe baz de expresii regulate Poate analiza trafic n ambele direcii Poate detecta atacuri ce au loc pe durata mai multor faze Are un nivel de alarme false mai redus dect Snort 99

Lucrarea original ce descrie Bro [Pax88] este prima care adreseaz i problema atacurilor asupra monitorului i a capacitii acestuia de a rezista acestor atacuri.

Figura 3.16 - Structura Bro

Pentru a ilustra modul n care Bro rezist atacurilor, autorul mparte atacurile de reea n trei categorii: Atacuri de supra-ncrcare (sunt atacuri de tip DoS cu rolul de a provoca alterarea procesului de colecie prin pierderea de pachete de captur) Atacuri de blocare (sunt atacuri de tip DoS ce caut stoparea funcionalitatea monitorului sau a procesului de colecie ce ruleaz pe acesta) Atacuri de diversiune (atacuri ce urmresc generarea de alarme false pentru a masca alte atacuri)

100

Modelare reguli Auto-instruire Serii atemporale Statistici descriptive

Reele Neurale Artificiale

W&S IDES, NIDES, EMERALD, JiNao,Haystack Hyperview MIDAS, NADIR, Haystack NSM ComputerWatch DPEM, Bro USTAT IDIOT NIDES, EMERALD, MIDAS, DIDS NSM NADIR, Haystack, Bro, Snort, JiNao, OSSEC Ripper

Tabel 3.2 - Clasificarea tehnicilor de detecie utilizate de IDS prezentate n seciunile 3.3.5-3.3.7

Serii temporale Anomalie Statistici descriptive

Statistici simple Programate

Bazate pe reguli simple Prag Modelare serii de stare

Interzice implicit Modelare de stare

Tranziie de stare Reele Petri

Semntur

Programate

Sisteme expert String matching Bazate pe reguli simple

Inspirate pe baz de semnturi

Auto-instruire

Selectare automat a trsturilor

101

3.4 Tehnici de monitorizare a infrastructurii pentru organizaii mari

Atacurile DDoS, propagarea epidemic a viermilor, precum i utilizarea unui botnet de a atac o anume int pot paraliza chiar i cele mai bine organizate reele. Strategia pentru neutralizarea acestor ameninri presupune implementarea unor soluii de monitorizare care s acopere un spaiu de adrese mare, precum i cooperarea ntre reele. Acest paragraf abordeaz soluii de monitorizare ce se pot implementa n organizaii mari, sau la nivelul furnizorilor de servicii Internet pentru a adresa potenialele atacuri la adresa infrastructurii de reea.

3.4.1. Contracararea atacurilor generate de viermi Internet

Rspunsul la un atac lansat de un vierme presupune urmtoarele componente majore: detecia (de preferat a fi fcut ct mai timpuriu posibil), i defensiva (vizeaz limitarea propagrii i neutralizarea viermelui). [Moo02] Caracteristicile specifice ale propagrii viermelui ce se vor fi monitorizate pentru a detecta prezena sa sunt [PPN05-03]: Volum substanial de trafic similar (scanri, ncrctura de infecie) Volum ridicat de staii implicate Numr mare de sondri adrese nealocate Detectarea atacurilor pe scar larg n Internet (att cele DDoS i a celor generate de viermi) se bazeaz pe sisteme IDS. Sistemele IDS bazate anomalii ale traficului identific poteniale ameninri pe baza variaiilor dintre traficul curent i un model de trafic n reea pentru condiii normale. Dei ofer o mai mare adaptabilitate, aceste tipuri de IDS au o rat ridicat de alarme false. Considernd impactul asupra activitii generale n Internet pe durata propagrii epidemice a unui vierme, este necesar implementarea unor sisteme de detecie i neutralizarea automat a atacurilor generate de viermi care trebuie sa satisfac urmtoarele cerine: [PPN05-01] Detectarea propagrii viermilor n etape ct mai timpurii ale ciclului de manifestare pentru a-i putea anihila nainte de a scpa de sub control. Generarea semnturilor viermilor n mod automat pentru a reaciona i neutraliza rapid propagarea acestora. O semntur identific caracteristicile comune ale unui vierme, suficiente pentru a-l identifica i-l anihila. Sistemele de detecie a viermilor trebuie s aib o rat redus de alarme false, ntruct o alarm fals reprezint de fapt interzicerea unui serviciu legitim. De aceea, trebuie realizat un compromis ntre o detecie rapid i o rat redus de alarme false cnd se proiecteaz un sistem automat de detecie i neutralizare a viermilor. La nivelul furnizorilor de servicii sau al organizaiilor cu reele mari, se poate efectua colectarea sondrilor trimise ctre adrese nealocate utiliznd senzori distribuii ce monitorizeaz traficul de intrare i ieire n diferite zone ale infrastructurii. Senzorii pentru traficul de intrare detecteaz pe ct posibil activitatea viermelui aflat n faza de scanare i care ncearc s contacteze adrese dintr-un spaiu de reea neutilizat (principiul este similar celui de Network telescop prezentat de Moore[Moo02]). Acest 102

tip de senzori pot oferi informaii despre activitatea viermelui la nivel global. Senzorii pentru traficul de ieire sunt plasai pe interfeele de ieire ale ruterului care conecteaz reeaua local la Internet. Scopul unui astfel de monitor este de a identifica caracteristicile de scanare ale unui potenial vierme din traficul de ieire. n cazul n care o staie din reeaua local este infectat, senzorii de ieire pentru aceast reea pot observa majoritatea traficului de scanare trimis ctre exterior de staia compromis.

Figura 3.17 - Un sistem generic de monitorizare a atacurilor lansate de viermi

Pentru o avertizare timpurie asupra unui potenial atac lansat de vierme, datele observate de senzorii distribuite trebuie colectate i transmise n timp real ctre un centru de avertizare (CA). Un alt motiv pentru implementarea unui sistem distribuit de monitorizare, l reprezint faptul c acelai vierme poate arta un comportament diferit, n funcie de particularitile staiei victim. De exemplu, rata de scanare a lui Slammer este limitat de lrgimea de band pe care calculatorul infectat o are la dispoziie (utiliznd protocolul UDP pentru propagare), pe cnd rata de scanare Conficker i a altor viermi cu scanare uniform este limitat de lrgimea de band a canalului de transmisie. Informaiile colectate de senzori pe durata unui interval de timp de monitorizare, i trimise ctre CA, sunt: Rata medie de scanare i distribuia scanrilor (oferite de senzorii de ieire) Numrul de scanri recepionate, precum i adresele IP ale staiilor care au trimit pachete de scanare (oferite de senzorii de ieire) CA colecteaz i consolideaz n timp real rapoartele de scanare generate de senzori pe parcursul fiecrui interval fiecare monitorizare. Pentru fiecare port TCP sau UDP, CA are un prag de alarm de monitorizare a traficului nelegitim. Pentru procesarea acestor date se pot utiliza tehnici multiple. Considernd propagarea exponenial care are loc n faza iniial, [Zou03] propune o strategia de detecie de identificare a unui trend n traficul de date prin activarea unui filtru Kalman care va estima rata de infecie pe baza informaiilor oferite de monitoare. Estimarea recursiv va continua pn cnd valoarea estimat pentru parametrul ratei de infecie se stabilizeaz. Dac rate de infecie estimat se stabilizeaz sau oscileaz uor n jurul unei valori constante pozitive, atunci s-a detectat prezena unui vierme. Dac oscileaz n jurul valorii zero, atunci traficul nelegitim identificat de senzori este interpretat ca zgomot .

103

3.4.2 Monitorizarea fluxurilor de comunicaie pereche pentru detecia BotNet

Odat ce intruziunea a intrat n faza de consolidare, ansele de detecie pe baza NIDS sunt foarte limitate. Un astfel de caz l reprezint detecia staiilor care sunt nrolate ntrun botnet. Elementul caracteristic ce poate fi utilizat n detecia traficului botnet, l reprezint profilul de comunicaie specific acestei structuri. Punctul de plecare l constituie nelegerea profilului de comunicaie specific elementelor unui botnet [Bai09]. Pe baza acestui profil se construiete un model de monitorizare a fluxurilor de comunicaie n ambele sensuri ntre reeaua proprie i Internet pentru a determina indicii dialogului tipic botnet. n plus se pot corela alarmele IDS asociate traficului de intrare cu elemente specifice de comunicaie n traficul de ieire. Una din cele mai eficiente implementri din aceast clas de tehnologii este Bothunter [Gu07]. Aceasta modeleaz o secven de infecie (I) pe baza unui tuplu de participani i a unei secvene de dialog slab ordonate. I = <A,V,L,C,P,V,{D}>, unde
A- Atacator, V- Victim, L- Locaie ncrcare soft, C- Server Comand&Control, PPunct coordonare P2P, V- intele de propagare ale victimei, {D}- Setul de secvene

de dialog pe fluxuri biderecionale

Figura 3.18 - Bothunter: Modelul ciclului de via al infeciilor (MCVI) [Bot11]

Componentele arhitecturii BotHunter sunt [Bot11]: SLADE (Statistical payLoad Anomaly Detection Engine) - implementeaz un modul simplu de analiz a ncrcturii n fluxurile de trafic de intrare, urmrind divergene n distribuia octeilor pentru protocoalele care sunt tipice intruziunilor pe baz de malware. SCADE (Statistical sCan Anomaly Detection Engine) - efectueaz cteva scanri suplimentare de porturi tipice claselor malware att pentru fluxurile de intrare ct i cele de ieire. 104

Corelatorul BotHunter pe baza unei diagrame interne de stri care definete MCVI, efectueaz o corelaie a elementelor de dialog din traficul de intrare i a alarmelor de intruziune cu elemente dialogului din traficul de ieire. Considerentele avute n procesul de corelaie sunt [Gu07]: Identificarea secvenelor de comunicaie care sunt conforme cu MCVI Elementele de trafic identificate a genera tranziii de stare nu trebuie s fie n ordine stric (innd cont de ntrzieri n reea care pot afecta n mod diferit secvenele de pachete), trebuie s fie ntr-o anumit vecintate temporal Alerte de bot nu se genereaz doar pe baza elementelor de trafic externe, fiind nevoie de prezena elementelor de trafic interne. Fiecare flux va avea un scor de ncredere al infeciei calculat pe baza elementelor de dialog asociate fiecrei stri. Setul de semnturi - conine semnturi de exploatri cunoscute de viermi, malware, scripturi, schimburi de mesaje C&C, scanri externe. Semnturile provin din surse multiple cum ar fi: Bleeding Edge, comunitatea Snort, reguli specifice de bot Cyber-TA

Figura 3.19 - Arhitectura Botnet [Gu07]

3.4.3 Urmrirea atacurilor DDoS

O strategie eficient de combatere a atacurilor DDoS combin tehnici pentru adresarea urmtoarelor aspecte: prevenirea, detecia, urmrirea pachetelor fluxurilor sau traficului agregat creat de DDoS i suprimarea atacurilor. Msurile de detecie i urmrire a atacurilor DDoS pot fi mprite n urmtoarele clase [PNB09]: Marcarea pachetelor - const n suprascrierea unuia sau mai multor cmpuri ale antetului pachetului IP, pentru a pstra informaii despre calea urmat de fiecare pachet de la surs ctre destinaie. Destinaia va utiliza acest tip de informaie pentru a reconstrui calea i identifica atacatorul. Metodele bazate pe rescrierea pachetelor sunt relativ ineficiente mpotriva atacurilor ce utilizeaz reflectori, 105

deoarece informaia de marcare este pierdut la nivelul reflectorilor. Aceast clas necesit funcii de calculare a cii ultrarapide n rutere, deoarece fiecare pachet trebuie marcat. Nu este demonstrat dac funciile propuse sunt suficient de rapide pentru ruterele de backbone. Controlul cii - Spre deosebire de metodele cu marcare de pachete, aceste abordri bazate pe controlul cii presupun transmiterea de informaii despre atacuri DoS n pachete adiionale. Aceste pachete ar trebui trimise la o rat mult mai sczut dect pachetele de trafic manipulate de rutere. Spre deosebire de metoda anterioar, nu necesit schimbri n semantica cmpurilor existente n antetul pachetului. Aceasta este important deoarece rescrierea poate schimba semantica pachetelor. Prin creterea numrului de ci ntre atacatori i victim, a ratei de trimitere a pachetelor, coninutul pachetelor, numrul de victime atacate simultan i cantitatea de trafic legitim generat de atacatori, probabilitatea ca victima s descopere locaia real a atacatorului scade prin reducerea diferenelor ntre traficul legitim i cel de atac. Propunerile existente din aceast categorie se mpart n dou grupe: abordri bazate pe ICMP Traceback i abordri bazate pe rutare (BlackholeRouting, CenterTrack) Jurnalizarea pachetelor - Metodele bazate pe marcarea pachetelor i controlul cii pot fi pclite de atacator, deoarece nivelul atacului trebuie s ating o anumit limit pentru a putea determina calea dintre atacator i victim. Abordrile bazate pe nregistrarea de pachete consider un potenial pericol n fiecare pachet, i de aceea trebuie nregistrat. Totui, colectarea i procesarea tuturor pachetelor constituie o operaie foarte complex. De aceea, o serie de abordri vizeaz modul de sumarizare a traficului de pachete (DWARD, Multops, NetFlow, SPIE).

3.5. Monitorizarea spaiului de ameninri global pe baza resurselor publice

Una din componentele principale ale strategiei de securizare a Internetului o reprezint monitorizarea ameninrilor de nivel global. Tehnicile reprezentative utilizate pentru monitorizarea spaiului de ameninri precum, precum i o serie de exemple ilustrative a modului n care se poate efectua analiza pe baza acestor date publice sunt prezentate n cele ce urmeaz.

3.5.1 Network Telescope

Network Telescope (numit adesea i darknet sau blackhole) este o soluie de monitorizare a accesului la un spaiu larg de adrese IP rutabile care n condiii normale au un volum de trafic legitim foarte mic, inexistent, sau care poate fi uor filtrat. Orice trafic atipic destinat spaiului de adrese monitorizat, poate fi interpretat ca un potenial atac. Aceast soluie este viabil pentru observarea evenimentelor majore, la nivel global, n care atacul ncorporeaz un grad ridicat de aleatorism n selectarea intelor [Moo02-2]. Dac conceptul iniial de telescop avea ca obiectiv doar capturarea traficului destinat spaiului de adrese neutilizat, implementri ulterioare (Internet Motion Sensors) ncorporeaz un mecanism de rspuns limitat la traficul primit.

106

Figura 3.20 Network Telescope utilizat de CAIDA

Pe baza acestui sistem s-au putut obine statistici despre atacuri de tip DDoS n desfurare (cnd telescopul recepioneaz de la victim/victime un volum mare de pachete SYN-ACK), precum i despre atacurile generate de propagarea viermilor (cnd telescopul recepioneaz un volum mare de cereri TCP SYN sau pachete UDP, i care are un trend exponenial pe durata iniial de propagare a viermelui). Utilitatea unei astfel de soluii const n posibilitatea identificrii unor atacuri majore n Internet la nc din fazele iniiale, de a estima potenialul impact, i analiza evoluia ulterioar i precum i a mecanismelor aplicate pentru izolarea i anihilarea atacului. n procesul de utilizare i interpretare a informaiilor oferite de o soluie telescop, trebuie s se aib n vedere ipotezele i limitrile acestuia [Smi09]: Un telescop utiliznd un spaiu de adrese distribuit va oferi o acuratee mai ridicat n extrapolarea observaiilor locale la nivelul ntregii infrastructuri Internet. Aceast soluie determin i o implementare mai complex, care trebuie s rezolve toate aspectele legate de sincronizare, de distribuia datelor, i de interpretarea statistic a datelor deoarece, la un moment dat, nu toate reele monitorizate au acelai grad de accesibilitate. Din pcate, soluiile disponibile n acest moment (CAIDA, WAIL) utilizeaz preponderent spaii de adres continue. Extrapolarea observaiilor fiind aplicabil doar n cazul atacurilor cu scanare uniform a Internetlui Datorit congestiei, adesea telescopul va raporta cu ntrziere scanrile, iar aceasta va afecta i rata de scanare estimat Prezen tehnologiei NAT (Network Address Translation) va avea ca urmare raportarea unui numr sczut de adrese IP distincte. O soluie n acest sens ar fi utilizarea cmpului IP ID pentru anumite sisteme de operare. Scanrile neuniforme (utiliznd anumite preferine cum ar fi cea de reea local utilizat n cazul viermelui Stuxnet) limiteaz vizibilitatea telescopului. Limita de via a staiilor infectate. Modul de construcie a viermelui, precum impactul aciunii viermelui sau al atacului DDoS asupra staiei poate afecta modul de scanare. De exemplu, Code Red oprete scanarea dup o anumit perioad, Witty afecteaz modul de operare a mainii infectate care n timp devine indisponibil, Stuxnet (utilizeaz o scanare direcionat, i se autoterge pentru a nu genera un volum de scanare ce poate atrage atenia) Erorile echipamentelor de msur. i n cazul CAIDA, s-au putut observa intervale de timp n care colecia de date este afectat de ntrzieri, congestie 107

3.5.2 Dshield/Internet Storm Center

Aceast abordare are la baz colectarea de fiiere de detecie a intruziunilor oferite de diferite organizaii, care n momentul de fa acoper peste 500.000 adrese IP din peste 50 de ri. Aceast abordare asigur o mai bun distribuie asupra spaiului de monitorizare, ns diversitatea configuraiilor IDS utilizate de multiple organizaii, poate genera probleme de interpretare atunci n cazul unor evenimente pentru care nu exist reguli Snort n pachetul de baz [ISC--].

3.5.3 ATLAS (Active Threat Level Analysis System)

ATLAS este una din primele iniiativele care a avut ca obiectiv construirea unei reele de analiz a ameninrilor la nivel global.

Figura 3.21 - Consola de monitorizare globala ATLAS Distribuia geografica a atacurilor 23/09/2011 [Arb11-01]

Datele sunt capturate prin utilizarea de senzori distribuii global care ruleaz o serie de aplicaii de captur i analiz de date. Senzorii au capacitatea de a: Interaciona cu atacatorii pentru a determina inteniile acestora Captur de trafic complet i analiza acestuia Caracterizarea traficului de scanare Datele sunt apoi trimise la o locaie central pentru analiz detailat i prezentare la consol. Alte surse de date utilizate de ATLAS sunt: Trafic capturat de honeypots Fiiere log IDS Fiiere de scanare Statistici DoS la nivel Internet tiri i rapoarte de vulnerabilitate Eantioane de malware capturat Date despre infrastructura de phishing Date comanda i control botnets

108

Figura 3.22 - Consola de monitorizare globala ATLAS Distribuia dup servicii a atacurilor 23/09/2011 [Arb11-02]

Acoperirea global este n mare parte rezultatul FSA (Fingerprint Sharing Alliance), o alian creat n 2005 i care reunete furnizori de serviciu majori n Internet, care opereaz pe toate continentele. Programul FSA ofer participanilor un mecanism prin care pot partaja uor i rapid informaii despre atacuri ntre organizaii, i care adreseaz [FSA11]: Cerinele specifice de ordin legislativ Disponibilitatea datelor n timp real Vocabular comun de descriere a anomaliilor Modului de adresare a anomaliilor avnd n vedere complexitatea relaiilor ntre entitile implicate Un avantaj al acestei abordri de amprentare a anomaliilor este faptul c nu necesit investiii majore de infrastructur, putnd fi vzut mai degrab ca un limbaj standard care faciliteaz comunicarea de informaii despre atac. Informaia de caracterizare a anomaliei de reea observat de membru include contextul atacului i informaiile de contact pentru centru de operare de reea al prilor implicate. Contextul atacului este un set de statistici care identific n mod unic anomaliile de trafic observate. n plus, acesta ofer datele necesare interpretrii evenimentului i nelegerii ameninrii la adresa utilizatorilor. Poate include informaii precum:

109

Scopul : set de prefixe de reele atacate, informaii de corelaie spaial sau temporal asupra atacurilor Severitatea : rata de trafic de atac din volumul total de trafic Impactul: efectul atacului asupra echipamentelor de reea, serviciilor i utilizatorilor Informaii de contact persoane care au autoritatea i responsabilitatea pentru adresarea acestui gen de evenimente

Figura 3.23 - Arhitectura de monitorizare globala Arbor/ATLAS [FSA11]

3.5.4 Studii de caz

3.5.4.1 Monitorizarea ameninrilor pe baza datelor CAIDA Un eveniment major identificat de CAIDA (utiliznd o soluie de monitorizare de tip Network Telescope) a fost propagarea viermelui Conficker. Aprut n Noiembrie 2008, acesta a avut o propagare foarte rapid, precum i o serie de transformri ntr-o perioad de cteva luni. Versiunea iniial, Conficker A, a nceput pe 21/11/2008 infectnd staiile prin exploatarea vulnerabilitii MS08-067 a Microsoft Windows [MS11-01]. CAIDA a observat trafic de la staiile infectate cu Conficker utiliznd UCSD Network Telescope i documentat comportamentul n [Cai08].

110

Figura 3.24 - Evoluia iniial a numrului de IP scaneaz port TCP/445 - Sursa [Cai08].

Trendul din aceast perioad iniial indic prezen unui vierme care afecteaz infrastructura global a Internetlui, putndu-se estima i rata de infectare la nivel global. n cazul de fa, rata de infectare la nivelul Internetlui (calculata pe baza [PPN05-01]) este de = 18 = 114911 * 8/(14 * 3600) staii pe secund, unde 114911 este valoarea maxim atins a numrului de adrese IP ce scaneaz spaiul telescopulului de clas A (/8) (ntre ora 17 i 18), iar 14 reprezint numrul aproximativ de ore n care trendul de cretere este uniform. Propagarea Conficker B a fost observat ncepnd cu data de 29/12/2008, i a introdus tehnici suplimentare pentru rspndire. Conficker A i B au utilizat un algoritm de generare pseudo-aleatoare de nume de domenii, i ncrcau cod nou de pe un webserver cnd era identificat la respectivul nume de domeniu [Por09].
Distributie trafic observat de "Network Telescope"
60.00% 50.00% 40.00% 30.00% 20.00% 10.00% 0.00% 01/11/2008 01/12/2008 01/01/2009 01/02/2009 01/03/2009 01/04/2009 10.00% 5.00% 0.00% 25.00% 20.00% 15.00%

P2P-UDP[5000 - 49151] P2P-TCP[5000 - 49151]

P2P-UDP[49152 - 65535] P2P-TCP[49152 - 65535]

Dest-TCP445 Volum Conficker C P2P

Figura 3.25 Distribuie trafic observat de Network Telescope

111

Pentru a exemplifica modul de utilizare a informaiilor colectate de telescop pentru analiza evoluiei viermelui, se va utiliza un eantion de date bazat pe traficul recepionat de telescop de durata unui interval de 1 or din zilele de 21/11/2008 (nceputul propagrii Conficker A), 18/03/2009 (dup Conficker C) i 25/04/2009 (dup Conficker E). Perioada aleas este ilustrativ pentru nelegerea caracteristicilor de propagare ale versiunii Conficker C (versiunea P2P) lansat pe 05/03/2009. Dup cum se poate observa aproape 25% din traficul recepionat pe 18/03 de telescop a fost de tip Conficker C ce a utilizat pentru propagare porturi TCP/UDP peste 5000. Numrul de pachete TCP cu portul destinaie 445 este n scdere, ceea ce sugereaz c Conficker C nu scaneaz vulnerabilitatea MS08-067. Pe 25/04 se observ o scdere a volumului de trafic Conficker C la 8% din traficul recepionat de telescop ceea ce indic o scdere a populaiei, ns distribuia pe porturi meninndu-se n acelai trend, ceea ce indic acelai gen de activitate. Volumul de pachete TCP 445 este n cretere ceea ce sugereaz c celelalte versiuni Conficker sondeaz din nou vulnerabilitatea MS08-067. 3.5.4.2 Monitorizarea ameninrilor pe baza datelor DShield (ISC) Pentru a ilustra utilitatea unei astfel de soluii n procesul de monitorizare de tip intelligence se va analiza evoluia numrului de scanri pentru portul TCP 445 pe o durat reprezentativ din activitatea viermelui Conficker [Aco09].
Activitatea de scanare Conficker (port TCP 445)
220,000 200,000 180,000 160,000 140,000 120,000 100,000 80,000 60,000 40,000 20,000 0 05/11/08 12/11/08 19/11/08 26/11/08 03/12/08 10/12/08 17/12/08 24/12/08 31/12/08 07/01/09 14/01/09 21/01/09 28/01/09 04/02/09 11/02/09 18/02/09 25/02/09 04/03/09 11/03/09 18/03/09 25/03/09

Nr. Surse/zi

Evenimente

Figura 3.29 Activitatea de scanare pentru port TCP 445 11/2008 03/2009 (sursa [ISC--])

n ciuda limitrilor care afecteaz acurateea datelor n cazul (CAIDA i DShield), unele (menionate n seciunea 3.5.1), precum i accesului limitat la datele colectate (n cazul ATLAS i CAIDA), analiza trendului este n msur s ofere rezultate foarte utile mai ales prin prisma monitorizrii contextului general extern global i identificrii schimbrilor ca apar n spaiul ameninrilor.

112

Data

Eveniment

Stare observat

21/11/2008 nceputul propagrii viermelui Conficker A ce scaneaz uniform ntreg spaiul Internet exploatnd vulnerabilitatea MS08-067 Microsoft Windows accesibil via port TCP/445 29/12/2008

15/01/2009

20/02/2009

05/03/2009

Crete imediat a numrului de scanri. Majoritatea infeciilor se finalizeaz n primele zile. Dup cteva zile scade cu 25% n principal datorit msurilor de rspuns ale organizaiilor. Un numr mare de PC (n mare parte sisteme personale continu) s fie infectate Creterea a numrului de scanri datorat unui nou ncepe propagarea Conficker B. Acesta vector de propagare (USB) . Trendul de cretere se incorporeaz algoritmul de hashing MD6 hashing pentru a securiza comunicaia staiile menine n contextual unei reacii minime datorate srbtorilor de Anul Nou, precum i al faptului c infectate i punctele de ntlnire . Scopul urmrit a fost de a mpiedica botnet-urile rivale mainile preponderent afectate sunt cele personale. de a prelua controlul asupra staiilor infectate Microsoft ofer un program de dezinfecie Ofer o stabilizare a numrului de scanri. Faptul pentru versiunile iniiale c volumul se menine ridicat indic gradul nc ridicat de lips de interes al utilizatorilor finali n ceea ce privete problemele de securitate. Se lanseaz Conficker C Volumul de scanare i menine acelai trend deoarece populaia Conficker A,B existent , ct i cea vulnerabil i menin caracteristicile, iar Conficker C nu utilizeaz scanare TCP/445. Conficker C ncepe s preia controlul asupra Se observ o scdere accentuat n volumul de staiilor PC infectate cu Conficker B i B++. scanare datorat faptului ca versiunea C nu Conficker C organizeaz staiile infectate n utilizeaz scanarea TCP445. Scanarea nu a revenit reele P2P i ntrerupe scanarea aleatoare la nivelul lui 11/2008 deoarece exist nc o asupra portului TCP/445 populaie mare Conficker A

17/03/2009 ncepe migrarea PC infectate ctre Conficker Se observ o scdere justificat prin migrarea unor D sisteme cu versiunea A, direct ctre D
Tabel 3.2 Momente de referin n evoluia viermelui Conficker n perioada 11/2008-03/2009

113

Motto: Modul cum abordezi o problem este mai important dect problema n sine. - Voltaire

CAPITOLUL 4

ARHITECTURA DE MONITORIZARE A SECURITII

O arhitectur generic de monitorizare a securitii are urmtoarele componente: surse de evenimente cu relevan pentru procesul de monitorizare (sisteme IDS de reea, rutere, sisteme de verificare a integritii fiierelor, etc.), colectoare de evenimente, baza de date cu mesaje de securitate, module de analiz i aplicaii pentru suportul rspunsului la incidentele de securitate identificate [PPN08]. Problema cea mai des ntlnit n implementarea unei arhitecturi o reprezint integrarea componentelor enumerate anterior, n contextul asigurrii integritii, disponibilitii i securitii datelor, i a canalelor de comunicaie ntre componente. Pentru o aplicabilitate extins se va considera c infrastructura ce se dorete a fi monitorizat aparine unei organizaii diferit de cea ce ofer serviciile de monitorizare - cazul tipic pentru serviciile externalizate cum ar fi Managed Security Servicies [Cou02]. Pentru simplificare, se va utiliza termenul de infrastructura clientului pentru a desemna infrastructura clientului ce se dorete a fi monitorizat.

4.1 Evaluarea strii de securitate a infrastructurii IT a clientului

Eficacitatea componentei de monitorizare este strns legat de modul de operare ale celorlalte componente ale programul de management al securitii organizaiei clientului. De aceea, nainte de a ncepe implementarea arhitecturii de monitorizare, este necesar a se evalua [PPN07-01]: Identificarea claselor de ameninare i stabilirea zonelor de monitorizare Politica de securitate n termeni de drepturi de acces, operaii permise, etc. Starea general de securitate a infrastructurii clientului. n acest mod se poate determina dac o cale de atac poate conduce efectiv la o intruziune pe sistemele clientului, precum i nivelul critic asociat ncercrii de intruziunii.

4.1.1 Inventarul tehnic i organizaional

Evaluarea nivelului de securitate poate fi mprit n urmtoarele componente [PPIN08-01]: Stabilirea strii de vulnerabilitate a infrastructurii clientului. Colectarea acestor date se poate efectua utiliznd tehnici precum [PNN10]: Black Box (cutie nchis) Asemenea unui proces PenTest (testarea penetrrii), se scaneaz infrastructura clientului pentru a obine informaii
114

despre: topologie, porturi deschise, aplicaii, vulnerabiliti, sisteme de operare. Este o opiune folosit pe scar larg deoarece informaiile se obin foarte rapid. White Box (cutie deschis) n acest caz clientul va oferi informaii legate de inventarul hardware, topologia infrastructurii sale, aplicaii, etc. Se recomand a fi utilizat n cazul n care se dorete generarea cilor de intruziune precum i cnd infrastructura foarte complex i utilizeaz controale care previn scanarea. Importana pentru procesele organizaiei clientului a fiecrei componente din infrastructura IT a acestuia. Deoarece aceast component prezint un grad ridicat de subiectivism, pentru a determina ct mai obiectiv impactul asupra clientului pe care-l poate avea o intruziune, se recomand ca analiza s se efectueze utiliznd o metod standard pentru clasificarea i taxonomia atacurilor de genul celei prezentate n seciunea 1.5.5 (o versiune simpl) sau 2.4.5 (dac se dorete o versiune mai complex).

Datele obinute la acest pas se vor salva n baza de cunotine (modulul nregistrare Configuraie Client).

4.1.2 Stabilirea modelelor de ameninare i a zonelor de monitorizare

Un modelul de ameninare este o expresie a ateptrilor referitoare la natura atacatorului i la caracteristicile potenialelor victime. Atacatorii pot fi grupai n urmtoarele clase [Bej04]: Atacatori externi care lanseaz intruziuni din Internet Atacatori externi care lanseaz intruziuni din segmente wireless Atacatori interni care lanseaz intruziuni dintr-un LAN Atacatori interni care lanseaz intruziuni din segmente wireless. Abilitatea de a observa victimele pentru diferite tipuri de atac determin i amplasarea platformelor de monitorizare (senzori). Figura 4.1 arat un exemplu de reea ale crei componente pot fi regsite n organizaii mici i mijlocii, avnd patru zone de monitorizare. Zonele de monitorizare sunt locaiile n care traficul are anumite nivele de privilegiu, stabilite pe baza unui nivel de ncredere definit de inginerul de securitate. Aceste trsturi sunt determinate de un dispozitiv de control al accesului, care segmenteaz traficul n zone diferite. n cazul exemplului de fa, dispozitivul de control al accesului este un firewall, care mparte organizaia n patru zone distincte: perimetrul, zona demilitarizat (DMZ), zona wireless i intranet. Perimetrul cuprinde zona dintre interfaa extern a firewall-ului i ruter-ul de conectare la Internet. Aceast zon a reprezentat n mod tradiional locul de amplasare al senzorilor, deoarece ofer cea mai bun vizibilitate asupra ameninrilor externe din Internet. Perimetrul este de asemenea considerat zona cu cel mai sczut nivel de ncredere, deoarece organizaia are control limitat asupra staiilor care iniiaz conexiuni ctre acesta. Organizaiile care amplaseaz senzori n perimetru au posibilitatea s colecteze informaii despre ameninri. Activitatea de scanare i ncercrile de intruziune euate la nivelul firewall-ului pot constitui indicatori pentru viitoare atacuri.

115

Figura 4.1 - Zone de monitorizare

Zona demilitarizat cuprinde staiile conectate la switch-ul DMZ. Senzorii plasai n aceast zon vor urmri n mare msur descoperirea atacurilor mpotriva serviciilor uzuale din DMZ (e-mail, web, DNS, FTP, etc), precum i atacuri iniiate din DMZ ctre alte zone. Produsele de detecie pe baza traficului de reea ofer un grad de eficien ridicat n monitorizarea staiilor DMZ, datorit nivelului sczut de trafic de zgomot i politicii de securitate relativ simple care guverneaz activitatea DMZ. Principala problem a senzorilor din DMZ o constituie manipularea traficului criptat. Senzorii generici nu pot inspecta coninutul traficului de web ce utilizeaz criptare SSL, dar exist anumite tehnici specializate pentru a oferi vizibilitate la nivel reea cum ar fi: senzorii cu chei escrow, dispozitive de accelerare a SSL i proxy reverse web. DMZ reprezint o reea cu nivel de ncredere mediu, deoarece staiile sunt sub controlul direct al organizaiei, dar sunt expuse utilizatorilor din Internet. O bun administrare va limita conectivitatea staiilor din DMZ ctre celelalte segmente, n special intranet. Zona wireless cuprinde toate staiile cu conectivitate wireless. Staiile din aceast zon au nivel de ncredere sczut, ca i cele din Internet, deoarece oricine aflat n raza de acces a punctului de acces wireless (WAP) se poate conecta n mod teoretic la segmentul wireless. Atacatorii externi din aceast zon pot fi grupai n dou categorii: Utilizatori de servicii fr plat, neautorizai (datorit unei configurri neadecvate) Poteniali spioni care doresc acces la informaii confideniale. Metodele i tehnicile de detecie disponibile pentru aceast sunt: Airdefense RogueWatch, Airdefense Guard, Snort-Wireless, WIDZ [Pfl11]. Strategiile curente vizeaz detecia atacurilor din aceast zon ctre intranet. Multe organizaii au soluii ineficiente pentru protecia clienilor din aceast zon. n ceea ce privete ameninrile externe din Internet, staiile din zona wireless adesea sunt tratate la fel ca i cele din Intranet.

116

Intranet-ul cuprinde toate staiile conectate la switch-ul intern i este delimitat de interfaa intern a firewall-ului. Staiile din aceast zon au nivelul de ncredere cel mai ridicat. Utilizatorii din Internet nu trebuie s acceseze direct aceste sisteme, dect dup ce au fost autentificai utiliznd un mecanism VPN. Se recomand monitorizarea n special pe baz de HIDS, deoarece intruziunile mpotriva staiilor intranet sunt cel mai adesea lansate din interior. NIDS sunt mai puin eficiente n aceast zon deoarece atacatorii interni nu scaneaz sisteme vulnerabile, nu caut s exploateze victima, nu copiaz informaia confidenial prin reea ctre staii externe, ci pot accesa informaia folosind un cont i parol valid i o pot copia pe un mediu extern. Metodele de detecie bazate pe NIDS vizeaz n special atacurile lansate din exterior. n cazul n care este necesar monitorizarea intranetului la nivel reea, se recomand urmtoarele abordri pentru a adresa limitri datorate complexitii intranetului i a volumului ridicat de trafic al acestuia: Datorit segmentrii reelelor interne i a faptului c n majoritatea cazurilor staiile de aceeai importan sunt grupate n acelai segment, senzorii se pot plasa n aceste subreele. Amplasarea de ageni de colectare pe staiile critice, care vor transmite traficul ctre un senzor centralizat.

4.1.3 Consideraii specifice zonelor de monitorizare wireless

Conceptual se pot implementa urmtoarele tipuri de monitorizare: Monitorizarea ca participant la reea n care senzorul este plasat ntre WAP i firewall. O astfel de instalare va monitoriza activitatea din i spre zona wireless, dar nu i n zona wireless. Monitorizarea ca participant n zona wireless n care senzorul este echipat cu interfa wireless. n cazul n care senzorul este participant n reeaua wireless, acesta se asociaz unui WAP i obine o adres de IP de la acesta. Traficul de monitorizare observat va fi asemntor unui client conectat la o reea Eternet clasic. Monitorizarea ca observator n zona wireless poate fi realizat cu dispozitive specializate sau utiliznd un kernel Linux Knoppix [Kno02]. n acest mod senzorul poate accesa i frame-urile de management care sunt invizibile majoritii participanilor n reeaua wireless. Ca observator se pot depista atacurile de tip disociere. Monitorizarea la nivelul WAP. Majoritatea punctelor de acces bazate pe kernel Linux, sau BSD ofer posibilitatea accesului la traficul din reeaua wireless [Sam02]. WAP comerciale actuale ofer posibilitatea de a copia local traficul care-l opereaz prin instalarea de IDS (Snort), sistemul de fiiere fiind accesat via NFS de ctre o staie de colectare central.

4.1.4 Baza de date cu vulnerabiliti

Aceast component conine informaii despre bree de securitate i combinaii de situaii care ar putea avea impact asupra securitii n general, sau ar putea fi exploatate de un atacator pentru a realiza o intruziune. Formatul bazei de date va trebui sa includ urmtoarele tipuri de vulnerabiliti [Tho05]:

117

Vulnerabiliti structurale acestea sunt vulnerabiliti interne ale unei aplicaii cum ar fi: condiii de concuren (race conditions), buffer overflow, erori de format de ir de caractere, etc. Aceast parte a bazei de date este cel mai uor de implementat, i actualizat. Majoritatea acestor procese pot fi automatizate avnd n vedere c informaia este accesibil prin intermediul subscrierii la anumite liste publice de pot, sau direct de pe anumite site-uri web unde se gsesc vulnerabiliti [CVE--]. n cazul utilizrii mai multor surse, este necesar validarea i corelarea acestora de ctre o echip abilitat n acest sens. Vulnerabiliti funcionale acestea depind n principal de mediul operaional (configuraii, condiiile operaionale, utilizatori, etc.). De exemplu, o partiie montat via NFS se consider a fi vulnerabilitate funcional n contextul n care atacatorul poate accesa un cont sau sistem care i permite montarea sistemului de fiiere. De aceea, se poate presupune c exist un numr mare de astfel de vulnerabiliti n sisteme, dar pot fi considerate ca inactive att timp ct cel puin o condiie necesar nu este satisfcut. Definirea, reprezentarea i actualizarea bazei de date reprezint o sarcin destul de dificil pentru aceast categorie de vulnerabiliti, i necesit conlucrarea unor echipe din mai multe domenii (aplicaii, sisteme de operare, reea, baze de date, etc.). Vulnerabiliti topologice includ vulnerabiliti datorate protocoalelor de comunicaie n reea (de exemplu: sniffing, spoofing, hijacking, etc). Pentru a putea fi introduse n baza de date, aceste vulnerabiliti trebuie s ofere suport pentru modelarea topologiei.

4.1.5 Politica de securitate

Dup stabilirea inventarului infrastructurii client, se vor evalua aspectele politicii de securitate care influeneaz generarea de evenimente, procesele de raportare i reacie la intruziuni, pentru a fi pstrate n baza de cunotine. Aspecte precum autorizarea, procedurile de testare i auditare vor oferi informaii legate de tipul de comportament pe care senzorii l vor putea detecta. Evenimentele generate (cum ar fi: accesul de nivel administrator, scanare porturi, etc.) vor fi evaluate n contextul politicii de securitate. Cele gsite ca neconforme cu criteriile politicii de securitate vor fi analizate ca parte posibil a unei ncercri de intruziune [PN08].

4.1.6 Evaluarea nivelului de securitate a clientului

Ultima component a bazei de cunotine o reprezint evaluarea detaliat a nivelului de securitate a infrastructurii clientului. Aceast evaluare conine [OSS05]: Vulnerabilitile la care sunt expuse sistemele identificate (la pas 4.1.1) conform bazei de vulnerabiliti (4.1.4) i a cerinelor definite n politica de securitate (4.1.5) Impactul relativ pentru fiecare vulnerabilitate la care exist expunere Cile de atac ce conduc la activarea vulnerabilitilor inactive. Acest nivel de evaluare va trebui regenerat de fiecare dat cnd sunt modificri n rndul vulnerabilitilor (de exemplu: o nou vulnerabilitate este identificat), sau al sistemelor client monitorizate (de exemplu: un server web este instalat pe un client deja monitorizat, sau clientul introduce un nou sistem n infrastructura sa).

118

4.1.7 Consideraii asupra administrrii senzorilor dispui n perimetrul clientului

Managementul senzorilor utilizeaz una sau mai multe strategii, fiecare avnd caracteristici de securitate, utilitate i eficien specifice. Serviciile necesare arhitecturii de monitorizare determin adesea opiunile de acces la distan. Cele mai populare metode de acces la senzori sunt [Bej04]: Accesul senzorului prin consol reprezint cea mai sigur modalitate de management a senzorului. Dei accesul strict prin consol limiteaz capacitatea atacatorului de a lansa atacuri mpotriva senzorului, acesta nu este imun totui la compromitere. Atta timp ct activitatea maliioas este vizibil senzorului, atacatorul are o modalitate de a influena modul de operare al senzorului. Cele mai distructive modaliti de atacare a senzorilor presupun exploatarea unor vulnerabiliti ale software-ului care colecteaz date prin interfaa de monitorizare. Un exemplu n acest sens l reprezint vulnerabilitile unor aplicaii majore utilizate n sistemele IDS de reea cum ar fi tcpdump [CER--]. Acces la distan n band presupune administrarea senzorului prin utilizarea infrastructurii de reea a organizaiei (senzorul i staia de management, utilizeaz aceeai infrastructur utilizat de ceilali utilizatori pentru trafic de email, web, etc). Att accesul la date ct i administrarea se face utiliznd VPN. Dezavantajul acestui tip de acces l reprezint fragilitatea configurri greite ale SSH, serviciilor VPN ( IPSec), sau unele aspecte ale stivei de reea pot duce la izolarea senzorului. Acces la distan n afar de band presupune administrarea senzorilor utiliznd canale de comunicaie separate de cele utilizate pentru transferul traficului utilizator. Ca opiuni n acest sens ar fi echiparea senzorului cu o interfa dedicat i utilizarea de linii dedicate pentru conectarea cu site-ul unde este dispus senzorul. Unii administratori consider c Internetul este destul de fiabil, dar exist posibilitatea de blocare al senzorilor, care ar necesita o repornire la rece. Pentru aceasta, senzorii se conecteaz la surse de alimentare controlate prin reea.

4.2 Componentele Arhitecturii de Monitorizare a Securitii

Definiie: Arhitectura de monitorizare a securitii este un termen generic pentru o colecie de sisteme al crei scop este de a furniza servicii de detecie i rspuns la incidentele de securitate care au loc n organizaia respectiv. Pe baza acestei definiii se pot distinge urmtoarele operaii efectuate de arhitectura de monitorizare: generarea, colectarea, stocarea, analiza evenimente de securitate i rspunsul la incidentele de securitate. Utiliznd terminologie similar celei definite n CIDF i IDMEF [RFC-4765], sistemele care alctuiesc arhitectura de monitorizare a securitii se clasific n funcie de operaiile efectuate dup cum urmeaz: Sisteme E - genereaz evenimente de securitate Sisteme C - colecteaz evenimente de la sistemele E Sisteme D - stocheaz baza de date cu evenimente Sisteme A - realizeaz analize i corelaii de evenimente

119

Sisteme K - responsabile cu managementul cunotinelor despre vulnerabiliti, semnturi de intruziuni, configuraia platformelor protejate, precum i alte informaii utile analistului de securitate Sisteme R - rspund la incidente, sau suport personalul de securitate n procesul de rspuns la incidente.

Figura 4.2 - Componentele arhitectura de monitorizare a securitii i relaiile ntre acestea

4.2.1 Sisteme E
n funcie de modul de creare a evenimentelor, sistemele de tip E se mpart n dou categorii [Els08]: Generatoare bazate pe evenimente (senzori). Evenimentele de securitate sunt create ca urmare a unei operaii specifice executate de sistemul de operare, de aplicaie sau a unei activiti detectate n reea. Generatoare bazate pe stare (pollers). Evenimentele sunt generate ca urmare a unui interogri externe cum ar fi: cerere ping, verificare a integritii datelor, verificarea strii unui daemon, etc. Senzorul este un agent autonom ce ruleaz ntr-un mediu potenial ostil, i care are urmtoarele caracteristici [Spa00]: ruleaz permanent, este configurabil i adaptabil, este scalabil, tolerant la defeciune, rezistent la atacuri, necesit resurse limitate, asigur o degradare treptat a serviciului, i permite o reconfigurare dinamic.

120

Exemple de senzorii utilizai n implementarea soluiilor de monitorizare sunt [PPN0701]: NIDS, HIDS Sisteme de filtrare (la nivel de reea, aplicaie sau utilizator) cum ar fi: sisteme firewall, rutere cu liste de control al accesului (ACLs), switch-uri ce implementeaz filtrare pe adrese de tip MAC, servere de autentificare (RADIUS). Honeypots, Snifere de reea, etc. Polerele genereaz un eveniment atunci cnd detecteaz o anumit stare pe un sistem ter. Un exemplu de polere l reprezint sistemele de management n reea. n contextul monitorizrii securitii, polerele vor verifica starea serviciilor (pentru a detecta situaii de tip DoS) i integritatea datelor (de exemplu coninutul unei pagini web). Principala limitare a acestui tip de sistem E o reprezint performana. n cazul n care polerul este configurat s interogheze multe staii int la intervale scurte de timp, consumul de resurse (CPU, band de reea) poate afecta operarea polerului.

4.2.2 Sisteme C i D
Sistemele de tip C au rolul de a colecta evenimentele generate de sistemele E i de a le translata ntr-un format standard ce permite o procesare consistent la nivelul ntregului spaiu monitorizat. Principalele riscuri arhitecturale ale sistemelor C le reprezint disponibilitatea i scalabilitatea, ns aceste riscuri se pot adresa utiliznd soluii tipice serverelor pentru rezolvarea unor astfel de probleme cum ar fi: folosirea unor soluii de tip cluster, HA (High Availability - de disponibilitate ridicat), i LB (Load Balanced de distribuire a ncrcturii) [OSS05]. n momentul de fa nu este definit un standard legat de formatarea datelor colectate, acest subiect fiind nc o problem nerezolvat n rndul comunitii de securitate. Sistemele de tip D sunt baze de date i reprezint componentele cu cel mai nalt grad de standardizare din arhitectura de monitorizare a securitii. MySQL este adesea opiunea pentru implementrile bazate pe surse deschise (cum ar fi OSSIM), iar Oracle sau MS SQL pentru implementri comerciale, sau foarte complexe (cum ar fi Counterpane). Aceste sisteme realizeaz totodat i normalizarea evenimentelor identificarea i combinarea evenimentelor duplicate generate de aceeai surs sau provenind de la surse distincte [PPN08]. Dintre problemele ce trebuie avute n vedere la implementarea acestei componente ntr-o arhitectur de monitorizare a securitii se amintesc: disponibilitatea, integritatea i confidenialitatea bazelor de date (acestea fiind aspecte tipice legate de bazele de date), precum i performana bazelor de date. Pentru ca arhitectura de monitorizare a securitii s rspund eficace la ncercrile de intruziune, evenimentele vor trebui stocate, procesate i analizate ct mai rapid.

4.2.3 Sisteme A i K
Sistemele K (n general baze de date) conin informaii i cunotine despre: politica de securitate, infrastructura monitorizat, vulnerabiliti, scenarii de intruziune i indicatori
121

de securitate la nivel global.

Figura 4.3 - Arhitectur generic de monitorizare a securitii [Gan08][OSS05][Cou03]

122

Sistemele A au rolul de a analiza evenimentele stocate n sistemele de tip D n contextul cunotinelor oferite de sistemele K, cu scopul de a genera mesaje de alert cu un grad ct mai mare de acuratee. Noile tehnologii i aplicaii n Internet, precum i modificri n spaiul vulnerabilitilor, ameninrilor i al managementului de risc, necesit o revizuire constant a sistemelor A . Aceasta a determinat ca implementrile comerciale actuale ale acestor componente s fie proprietare (cum ar fi Socrates folosit de BT Counterpane [Cou02]), iar cele din surse deschise, dei destul de diverse, s fie limitate la stadiul de verificare a conceptului. [PPN09] Totodat, operarea acestor sisteme necesit o activitate uman intens (analiti de securitate), care s adreseze limitrile proceselor de analiz curente n situaii conflictuale (datorate unor scenarii de atac incorecte), contradictorii (cnd unii senzori au fost corupi i ofer evenimente fabricate), sau cu grad de nedeterminare ridicat (n cazul unor ncercri de intruziune n desfurare, sau reuite, care au evitat mecanismul de detecie) [PPN08]. Funciile oferite de aceste sistemele de tip A vor constitui pentru o lung durat de timp obiectul celor mai multe preocupri de cercetare din aria monitorizrii securitii, cum ar fi: modelarea i reprezentarea matematic a noilor ameninri, algoritmi de corelaie, mbuntirea ratei de alerte false, procesarea distribuit a alertelor, etc. Capitolul urmtor va prezenta i evalua un model matematic care ar putea fi folosit pentru a adresa limitri curente din aceast zon.

4.2.4 Sisteme R
n cazul n care se dorete implementarea unui rspuns automat la intruziune trebuie s se ia n considerare aspecte de ordin legislativ, contractual (de exemplu: n cazul n care un furnizor de servicii detecteaz un atac venind de la un client) ct i strategia de impunere a respectrii politicii de securitate (de exemplu: o staie care ruleaz procese importante pentru organizaie, i care a fost contaminat de un vierme, se pune n carantin automat, chiar cu riscul privrii utilizatorilor de serviciul respectiv) [NIST SP 800-61]. Acest gen de constrngeri au determinat ca n cele mai multe cazuri sistemele R s aib un rol preponderent de suport al echipei de securitate care rspunde la incidente cum ar fi: oferind documentaie despre modul de adresare a incidentului, rapoarte care s asiste echipa care rspunde la incident (oferind informaii despre impactul intruziunii asupra organizaiei, progresul de restaurare a serviciilor sau de dezinfectare a staiilor [OSS05]), aciune asupra sistemelor proprii afectate (de exemplu: punerea n carantin automat a staiilor afectate de un atac pe baz de vierme n desfurare) [Zou03].

4.3 Consideraii asupra performanelor i limitrilor n generarea evenimentelor

Sistemele E se vor configura astfel nct s genereze maximum posibil de date. Aceste date pot fi trimise n timp real ctre sistemele C sau pot fi pstrate local pentru a fi conectate la un moment ulterior de ctre sistemele C (acest caz fiind similar probelor
123

RMON). Atunci cnd generarea unui volum mare de date va crea probleme de performan (de exemplu: colectarea fiierelor access_log pentru un centru de hosting web larg) se poate opta pentru filtrarea informaiei la nivelul sistemelor surs de tip E, dup efectuarea n prealabil unei evaluri [Bej04]. Din punct de vedere teoretic se dorete un volum maxim de date de la senzori a fi prezentate sistemelor colectoare. ns acest punct de vedere are limitri n ceea ce privete performana. Dac o astfel de abordare poate fi implementat n mod rezonabil pentru sistemele IDS, n cazul evenimentelor de securitate generate de sisteme de operare precum i de alte aplicaii sau echipamente din reea, soluia devine ineficient n practic (de exemplu, colectarea fiierelor log de acces la fiecare pagin web pentru o companie care ofer servicii webhosting)[Lar06]. Devine astfel necesar n cele mai multe cazuri prefiltrarea informaiei la nivelul sursei. Un astfel de filtru poate reduce semnificativ volumul de date colectate. Totui aplicarea unui filtru nainte de generarea de evenimente nseamn c o prim calificare este efectuat, aceasta fiind determinat de urmtorii factori [Voo07]: Specificaii structurale este cazul n care unele evenimente nu vor fi generate dup cum intereseaz componentele (hardware, sistem de operare, aplicaie) care nu sunt prezente n sistemul monitorizat. Acest tip de filtru este de obicei aplicabil echipamentelor de tip IDS, firewall sau de flitrare. Prefiltrri pe baza politicii de securitate este cazul filtrelor stabilite pentru a nu genera evenimente care sunt conforme politicii de securitate. De exemplu, scanrile de porturi iniiate de echipamentele proprii de securitate pentru verificarea vulnerabilitilor. Aceste filtre pot reduce n mod semnificativ resursele necesitate de colectori, ns au dou mari limitri: dificultatea meninerii filtrelor ntr-o arhitectur distribuit, n acest sens sunt necesare proceduri riguroase pentru controlul modificrilor pentru a asigura c filtrele sunt ntr-adevr conforme cu politica de securitate, ct i proceduri care s asigure c schimbrile n politica de securitate i arhitectura sistemelor sunt reflectate n aceste filtre. n plus, cum multe din aceste prefiltrri sunt necesare la nivelul aplicaie, varietatea aplicaiilor va determina o complexitate crescut n ceea ce privete managementul acestor fiiere de configurare [Cis11]. Un alt aspect este lipsa de reprezentare ct mai precis a realitii (statisticile vor fi mult mai puin fiabile iar unele investigaii post-incident vor fi lipsite de anumite informaii ceea ce va limita nelegerea a ceea ce s-a ntmplat.

4.4 Colectarea evenimentelor

Principalele operaii efectuate de colectori sunt: recepia de mesaje primare (evenimente) prin diferite protocoale i identificarea tipului de surs pentru formatare. Odat ce evenimentul este formatat va fi stocat n baza de date a evenimentelor. Aspectele legate de performan i disponibilitate necesit proiectarea unei arhitecturi scalabile care permite o distribuie a colectorilor i bazelor de date n reea. Colectarea de date din surse eterogene implic implementarea de dou tipuri de ageni la nivel de protocol i aplicaie. Primul nivel colecteaz informaii de la sistemele E, cel din urm translateaz informaia ntr-un format standard pentru stocare. Cele dou module sunt conectate printr-un dispecer. O astfel de arhitectur permite
124

implementarea de sisteme HA (high availability) i LB (low-balancing) la orice nivel al arhitecturii.

Figura 4.4 - Exemple de arhitecturi HA, LB bazate pe detaliile oferite mai jos.

4.4.1. Agenii de tip protocol

Agenii de tip protocol sunt proiectai s recepioneze informaii de la diferite protocoale de nivel transport sau aplicaie cum ar fi: Syslog, SNMP, SMTP, HTTP, etc. Acetia acioneaz ca aplicaii server, iar obiectivul lor este de a asculta conexiunile de intrare

125

ctre sistemele E i de a furniza datele colectate ctre dispecer [Ngu02]. Simplicitatea unor astfel de ageni face ca implementarea i meninea s fie uor de efectuat. Formatul datelor de stocare este n general de tip fiier utiliznd ca metod de transfer ctre dispecer named pipes, sockets sau shared memory pentru a asigura o performan mai bun. Datorit simplicitii acestor aplicaii i a faptului c nu necesit partajare de date, se pot implementa cu uurin grupuri de ageni pentru sistemele foarte mari. Cel mai important aspect de securitate care trebuie avut n vedere este asigurarea integritii datelor colectate de ageni, n mod special dac aceste date sunt transferate printr-o reea partajat sau nesigur. Actualmente exist o multitudine de protocoale pentru colectarea informaiilor care ruleaz avnd ca suport nivelul UDP. n acest sens este necesar ncapsularea datelor printr-un tunel securizat pentru a avea sigurana integritii datelor pe durata transportului. [OSS--] Pentru a menine un nivel de performan ridicat precum i operarea eficient a HA i LB se recomand ca operaiile de criptare i decriptare s se efectueze pe un echipament dedicat la fiecare capt al comunicaiei.

4.4.2 Dispecerul
Dispecerul are rolul de a determina tipul surs al evenimentului de intrare i de a distribui mesajul original ctre agentul aplicaie corespunztor. Odat ce identificatorul specific pentru fiecare tip de surs este determinat, implementarea este relativ simpl. Operaiile autonome efectuate de dispecer sunt [Ngu02]: Ascult canalul de intrare pentru agenii protocol (socket, named pipes, massage queue) Execut o operaie pattern matching utiliznd o baz de date de abloane, care pentru o performan sporit poate fi prencrcate n memorie. Deoarece generatorii de evenimente pot utiliza formate de mesaje diferite n func ie de protocolul de transmisie, formatul nregistrrilor din baza de date va avea urmtoarele cmpuri: tip sistem E, protocol transmisie, pattern Transmite mesajul original ctre un agent de aplicaie specific sistemului E.

4.4.3 Agenii aplicaie

Agenii aplicaie sunt specifici fiecrei entiti (sistem E, protocol de transmisie) i efectueaz formatarea de mesaje la un model generic de mesaje al bazei de date [Alk08] Operaiile efectuate de agenii aplicaie sunt [Mic09]:

Ascult canalul de intrare de la dispecer Proceseaz mesajul original genernd nregistrarea generic de mesaj Transmite mesajul formatat ctre sistemele D.

126

4.4.4 Conlucrarea dispecerilor i a agenilor de aplicaie

Din considerente de scalabilitate i disponibilitate unele implementri vor necesita operaii redundante pentru executarea funciilor de dispecer i agent aplicaie [Alk08]. De exemplu un dispecer va efectua urmtoarea operaie pentru identificarea unei alerte de tip Snort:
if($line =~ /.*snort: \[\d+:\d+:\d+\] .*) {

Snort n formatsend_to_snort_2.9_syslog_agent($line) Syslog.

}

Aplicaia agent va efectua urmtoarea operaie:

if($line =~ /.*\[\d+:\d+:\d+\] (.*) \[Classification: (.*)\] \[Priority:.*\]: \{(.*)\} (.*) -> (.*)/) { # completeaz cmpurile mesaj formatat per 4.5.2 $msgtype = Snort 2.9 Alert; $proto = getprotobyname($3); $src = $4; $dst = $5; $intrusion_type = $intrusion_type[SnortIntrusionType($2)]; $info = $1; }

n cazul unei platforme centralizate, operaiile pot fi combinate dup cum urmeaz:
if($line =~ /.*snort: \[\d+:\d+:\d+\] (.*) \[Classification: (.*)\] \[Priority:.*\]: \{(.*)\} (.*) -> (.*)/) { $msgtype = $msgtype[1]; $proto = getprotobyname($3); $src = $4; $dst = $5; $intrusion_type = $intrusion_type[SnortIntrusionType($2)]; $info = $1; }

n unele cazuri se poate combina funcionalitatea dispecerilor i agenilor de aplicaie pentru simplificare i o performan sporit.

4.5. Formatarea de date i stocarea

Pentru a asigura o procesare consistent i interpretarea de ctre fiecare component a arhitecturii de monitorizare, att evenimentele colectate ct i informaiile despre sisteme vor fi formatate ntr-o manier standard [PPN08].

4.5.1 Structura de date staie (host)

Necesitatea de standardizare a structurii de date pentru staie este determinat de [OSS05]:

127

Senzorii pot transmite informaiile despre staii n format IP sau FQDN (Fully Qualified Domain Name) Un sistem fizic poate avea mai multe adrese IP Un sistem fizic poate avea mai multe FQDN utiliznd tehnici de virtualizare a staiei Sistemele HA i LB pot raporta o singur adres IP sau FQDN pentru mai multe sisteme fizice.

Astfel identificarea unei staii pe baza adresei IP sau FQDN nu este fiabil. Mai mult, datorit unor considerente de performan, rezoluiile DNS inverse nu pot fi executate pentru fiecare IP/ FQDN identificate n fiierele log. Arhitectura propune crearea unui identificator independent de IP/ FQDN numit token de staie. Pentru o mai bun cutare i actualizare a structurilor de date de staie se recomand ca acestea s fie stocate ntr-o structur de tip hash table (i nu arbori sau liste). Tabelul hash va fi creat n memorie la pornirea sistemului i actualizat de fiecare dat cnd este identificat o nou adres IP/ FQDN.

4.5.2 Structura de date pentru mesaj

Manipularea evenimentelor generate de tipuri diferite de echipament, precum i transmiterea acestora utiliznd protocoale multiple, impune necesitatea unui format standard. Standardul IDMEF [RFC4765] elaborat n acest sens prezint totui unele limitri n termen de performan datorat consumului mare de resurse i volumului mesajului XML n procesul de corelaie. Totui, o translatare separat a procesului trebuie implementat dac se dorete conformare cu standardul IDMEF.

Figura 4.5 - Structura mesajului formatat

n crearea mesajelor cu format comun sunt implicate i alte structuri de date. Relaiile ntre aceste structuri sunt prezentate n figura 4.6.

128

Tabel_Tip_Mesaj PK ID_Tip_Mesaj Desc_Tip_Mesaj PK FK1 FK2

Tabel_Mesaj ID_Mesaj ID_Senzor ID_Tip_Mesaj Time ID_Host_Sursa ID_Host_Destinatie Protocol Port_Sursa Port_Destinatie Info ID_Intruziune ID_Tip_Intruziune Mesaj_Eveniment_Original

Tabel_IP_Host PK ID_IP_Host Adresa_IP

Tabel_FQDN_Host PK ID_FQDN_Host FQDN

Tabel_Intruziune PK ID_Intruziune BID CVE ID_Tip_Intruziune

Tabel_Host

Sursa Destinatie

PK FK1 FK2

ID_Host ID_IP_Host ID_FQDN_Host

FK1

FK3

Tabel_Tip_Intruziune PK ID_Tip_Intruziune Desc_Tip_Intruziune PK FK1 FK2 Tabel_Senzori ID_Senzor ID_Tip_Senzor ID_Host Info PK Tabel_Tip_Senzor ID_Tip_Senzor Desc_Tip_Senzor

Figura 4.6 - Structurile de date n mesajul de format generic

Tabelele implicate n construirea unui mesaj de format generic sunt urmtoarele: Tabelul cu staii (host table) descris anterior Tabelul cu senzori acesta are rolul de a identifica fiecare senzor din sistemul monitorizat. Fiecrui senzor i este atribuit un ID unic i un tip. Alte date opionale pot fi token-ul de staie i o descriere a senzorului. Tabelul tipului de senzor acesta are rolul de a oferii detalii pentru fiecare tip de senzori Tabelul tipului de mesaj acesta conine descrierea pentru fiecare identificator de tip de mesaj Tabel cu intruziuni acesta ofer identificarea pe baza unor referine multiple a genului de atac. De exemplu, BID (for BugTraq), CVE ID (for CVE) [CVE--]. Tabel tip intruziune acesta definete clasele de familii de intruziuni majore cum ar fi: filtrare, scanare, finger printing, acces, etc.

4.6. Analiza datelor

Operaiile principale efectuate pentru generarea alertelor sunt: corelaia, analiza structural, analiza funcional i analiza comportamentului. Corelaia este o operaie de sine stttoare pe baza creia se creeaz contexte care vor oferi suportul unei analize ulterioare, pentru a verifica dac aceasta prezint caracteristicile unei ncercri de intruziune [PPN06-04]. Analiza structural este n esen un proces avansat de tip pattern matching utilizat pentru a determina dac evenimentele dintr-un anumit context conduc ctre o cale de intruziune cunoscut, referii adesea i ca arbori de atac [Mau05].
129

Analiza funcional va oferi informaii despre expunerea sistemului int la ncercarea de intruziune detectat. Analiza de comportament va integra elemente din politica de securitate pentru a determina dac ncercarea de intruziune este de fapt o aciune permis.

Obiectivul acestor operaii este de a genera alerte care nu doar verific calea structural de intruziune (de exemplu: scan, finger printing, exploatri, backdoors, etc.), dar care iau n considerare i politica de securitate definit, precum i importana sistemelor int [Cla09].

4.6.1 Corelaia
Corelaia se definete ca fiind o relaie cauzal, complementar, paralel, sau reciproc, ce vizeaz o coresponden structural, funcional sau calitativ ntre dou entiti comparabile. [PPN06-04] n cazul arhitecturii de monitorizare a securitii, corelaia are rolul de a valida evenimentele de securitate colectate, ct i de a ajuta n procesul de identificare a originii, magnitudinii i impactului unei intruziuni, prin efectuarea analizei secvenelor de evenimente i generarea de alerte simple, sintetizate i precise. Pentru aceasta este necesar a se efectua urmtoarele operaii [PPN06-04]: Identificarea duplicatelor - const n identificarea evenimentelor duplicate i etichetarea acestora pentru eficientizarea procesrii, simplificnd analiza efectuat de aplicaii sau personal. Pattern matching secvenial - reprezint operaia de baz a modului de corelare i const n identificarea unei secvene de mesaje care ar fi caracteristic unei ncercri de intruziune. Aceast operaie permite identificarea intruziunilor n curs de desfurare, precum i scenariilor de intruziune complexe. Pattern matching temporal - utilizat n principal pentru managementul contextului, precum i identificarea proceselor de intruziune distribuite sau care se desfoar pe o durat extins. Analiza expunerii sistemului i a severitii - ofer informaii despre vulnerabilitile sistemului int pentru detectarea ncercrilor de intruziune. Spre exemplu, arhitectura de monitorizare a securitii nu va genera alarme n legtur cu scenarii de intruziune bazate pe vulnerabiliti la care sistemul int nu este expus. Un alt element important l constituie severitatea intruziunii i anume impactul general asupra sistemului monitorizat. Aceasta ajuta la o mai bun stabilire a prioritilor n cazul n care trebuie s se rspund simultan la mai multe incidente. Verificarea conformrii cu politica de securitate - reprezint un filtru bazat pe comportament pentru eliminarea evenimentelor specifice n cazul n care acestea sunt conforme cu criteriile politicilor de securitate (log-in administrator, autorizare, restricii).

130

Alerta

Statistici

Politica securitate (PS)

Data/Timp/ Conform PS

Stare sistem

Cale Intruziune

Baza date Vulnerabilitati

Analiza Mesaj

www.mta.ro hackme.com virus.com mail.mta.ro hackme.com conficker.com ns.mta.ro conficker.com virus.com

hackme.com www.mta.ro mail.mta.ro conficker.com mail.mta.ro ns.mta.ro

virus.com ns.mta.ro www.mta.ro

DISPECER

Mesaje Formatate

Figura 4.7 - Principalele operaii de analiz

Corelarea statiilor sursa si destinatie/tinta

Contexte

Analiza Structurala

Analiza Functionala

Expunere Sistem

Analiza Comportament

131

4.6.1.1 Contexte de corelaie Pentru o identificare mai eficient a evenimentelor care aparin aceluiai scenariu de intruziune, se utilizeaz tehnica corelrii pe baz de context. Aceast tehnic are la baz o structur specific denumit context, iar toate operaiile de corelare sunt efectuate pe baza acestor structuri. Implementrile care utilizeaz aceast tehnic de corelare vor avea i o rat de alarme false mai sczut [PPN06-04]. Definiie: un context este o structur de date n care elementele membru satisfac un criteriu dat. De exemplu, contextul de tip destinaie pentru staia A va conine toate staiile X1, X2, .. Xn pentru care exist evenimente, unde Xi i=1,n este surs iar A este destinaie. Astfel oricare mesaj stocat n baza de date cu mesaje va face parte din unul sau mai multe contexte. Operaiile de corelare se vor efectua n paralel, astfel nct s ruleze simultan pentru fiecare context. Se pot implementa urmtoarele tipuri de management al contextului [Pie08]: Contexte independente i distincte - fiecare context va conine mesaje specifice fiecrui criteriu. O astfel de arhitectur va fi numit ir de contexte. Contexte ierarhice - se definesc contextele de nivel superior care se potrivesc unui numr limitat de criterii, apoi se creeaz sub-contextele pe baza diferitelor criterii, rezultnd astfel un arbore de contexte. In practic datorit cerinelor de performan i funcionalitate se va evalua eficiena fiecreia dintre cele dou abordri. n multe cazuri se va utiliza o arhitectur mixt, care mbin cele dou abordri. 4.6.1.2 Definirea contextului Criteriul de definire al contextului trebuie fcut n conformitate cu evenimentele de securitate la care arhitectura de monitorizare va trebui s rspund (operaii de scanare distribuit, finger printing, volum mare de ncercri de exploatare, ncercri de tip brut force, spamming, etc.). O arhitectur funcional a contextelor este prezentat n figura 4.9. Un prim criteriu este combinaia ID staie atacat, ID staie atacatoare [Gre99]. Sursa - prin definirea sursei drept criteriu de creare a contextelor, se vor putea detecta sondri de tip ping, sistemele intermediare folosite de atacatori sau compromise de viermi Destinaie - contextele create pe criteriul destinaie vor oferi informaii despre scanri (fie ele distribuite normal sau desfurate pe o durat extins) i vor permite observarea ncercrilor de intruziune precum i a celor reuite. Se vor defini dou iruri de contexte, unul cu context (potrivire) pe surs, iar cellalt cu context pe destinaie. Fiecare context al fiecrui ir va fi apoi considerat drept context rdcin pentru arborii de context. Criteriile pentru potrivire ctre ramurile cele mai mici ar fi: Token ID destinaie (pentru contextele create prin potrivirea ID-ului surs) sau Token ID surs (pentru contextele create prin potrivirea ID-urilor destinaie). Pe durata procesrii datelor, protocoalele i porturile sistemelor destinaie vor forma
132

criteriul nivelului urmtor al ramurilor de context. Aceasta se va efectua pentru izolarea operaiilor singulare de scanare dintr-un ir masiv repetat de ncercri de compromitere a sistemului printr-o aplicaie specific. n plus, aceasta permite i identificarea diferiilor pai ai intruziunii. Unul din scenariile de intruziune des ntlnite este scanarea porturilor urmat de identificarea versiunii pentru porturile deschise (fingerprinting), dup care este lansat exploatarea asupra sistemelor ce se presupun a fi vulnerabile [Nma--]. Pentru a identifica tipul de mesaj stocat, ce permite totodat efectuarea unei analize ct mai precise a mesajelor, se efectueaz generarea unui context de nivel urmtor pe baza ID-ului tipului de intruziune. Un exemplu de definire a ID_tip_intruziune este prezentat n tabelul 4.8.
ID_Tip_Intruziune
0 / Necunoscut Seciunea 1xx Identificare 100 / Filtrare 110 / Scanare de Baza 120 / Fingerprinting Seciunea 2xx Exploatare 200 / Exploatare Seciunea 3xx Denial of Service (DOS) 300 / Denial of Service 310 / Denial of Service Sectiunea 4xx Evitare Securitate 400 / Spoofing 410 / Continut 420 / Privilegii Seciunea 5xx Compromitere Sistem 510 / Accesare Cont 520 / Eroare Acces Date 530 / Integritate

Desc_Tip_Intruziune
Intruziune necunoscuta Identificare tinta Pachete filtrate de firewalls, ACLs, etc. Scanare de porturi Identificare tinta Grup de incercari intruziune Lansare exploatare Atacuri DOS cu succes Atac DOS patial Atac DOS global Incercari de evitare a politicii de securitate IP / MAC spoofing Evitare filtare de continut Incercari elevare privilegiu Incercari de compromitere a sistemului tinta Succes accesare cont Incercari de acces la date private Compromitere integritate sistem

Figura 4.8 - ID tip intruziune

Ultima ramur a contextelor conine ID-ul specific de intruziune (caracterizarea fiecrui mesaj). La acest nivel se realizeaz la o dimensionare atomic a fiecrui mesaj. Acest cmp face referin la tabelul de intruziune i va fi responsabil pentru legtura ntre motorul de corelare i informaia de stare a sistemului stocat n baza de cunotine.

4.6.1.3 Organizarea contextelor Deoarece fiecare operaie de corelare este efectuat n mod exclusiv pe contexte, structura acestora reprezint una dintre cele mai importante aspecte ale arhitecturii de monitorizare.
133

Arhitectura funcional este descris n paragraful precedent i este constituit dintr-un ir de arbori de contexte. Fiecare arbore conine patru nivele de ramuri dup cum este prezentat n figura 4.9.

Figura 4.9 - Arhitectura funcional a contextelor

4.6.1.4 Structuri de date pentru contexte Pentru o funcionare corespunztoare a arhitecturii definite anterior va fi necesar implementarea unei structuri care va asigura accesul la informaii i stocarea corespunztoare. Figura 4.10 descrie o schem de implementare a contextului utiliznd notaii specifice Perl. Exemplu de implementare definete urmtoarele cmpuri: Timp_start i timp_stop - aceste cmpuri se vor gsi n fiecare ramur a structurii de context i ofer informaii despre timpul de generare al primului i respectiv ultimului mesaj asociat acelui subarbore Numrul de mesaje duplicate (no_duplicate). Mesajele duplicate conin aceleai informaii cu excepia cmpului de timp. Celelalte cmpuri se regsesc n structurile de date asociate mesajului de tip generic i care au fost prezentate n figura 4.6.

134

Figura 4.10 - Scheme de implementare a contextelor [Gan08]

4.6.1.5 Starea contextelor O alt important caracteristic a contextului o reprezint starea acestuia. Se definesc urmtoarele trei tipuri de stare [Mul09]: Activ - contextul se potrivete unui criteriu specific (de exemplu cel bazat pe timp), care poate fi caracteristic unui proces de intruziune n curs de desfurare. n mod uzual astfel de context va fi folosit pentru procesarea unui volum mare de date odat cu sosirea unui nou mesaj, iar analiza acestuia, efectuat de motorul de corelare, va trebui efectuat cu cea mai ridicat prioritate posibil. Inactiv - un astfel de context fie nu ndeplinete criteriul activ sau nu a recepionat codul specific de nchidere. Aceasta nseamn c nu este supus analizei de ctre motorul de corelare, dar va putea fi reactivat de urmtorul mesaj care se potrivete criteriului de context. nchis - n aceast stare contextul este ncheiat. Orice nou mesaj care potrivete contextual va crea un nou context.

135

Figura 4.11 - Diagrama strilor contextului

4.6.2 Analiza structural

Analiza structural const ntr-un set de operaii efectuate pe fiecare context de ctre module independente, i are scopul de a identifica ncercrile de intruziune n curs de desfurare, de management al strii de context i a condiiilor de ncheiere a contextelor. Fiecare modul este activat de un mesaj specific i realizeaz analiza utiliznd o semantic standard [Hou95]. Analiza structural se bazeaz pe un set de operatori, iar modulele de analiz genereaz rezultatele pe baza operaiilor logice ntre condiiile autonome i cmpuri din contexte. Activarea modulelor de analiz se poate efectua dup [Dou93]: Mesaje - anumite condiii de cmp trebuie ndeplinite pentru activarea modulului de analiz. Un antet coninnd condiiile de cmp ce trebuie ndeplinite este apoi generat pentru fiecare modul de analiz. Considernd structura modulului de analiz, antetul va fi un set de operaii logice de tip SAU, ai crei membri vor fi condiii de cmp ce necesit cel mai mic numr de resurse pentru a fi evaluate. Timp - antetul modulului de analiz poate conine informaii de timp pentru a determina evaluarea corelaiei. Aceasta este n principal utilizat pentru nchiderea contextelor i detectarea intruziunilor desfurate pe o durat mare de timp cum ar fi scanri de porturi ncetinite i atacuri de tip brut force.

4.6.3 Analiza funcional

Se efectueaz pentru evaluarea expunerii sistemului la intruziune i a impactului general al unei astfel de intruziuni asupra sistemului monitorizat Odat ce analiza structural ofer informaii despre ncercarea de intruziune n curs de desfurare, se face o cerere ctre seciunea din sistemul K cu Starea curent de securitate a clientului. Aceast cerere conine ID-ul intruziunii i token-ul staie al sistemului int. Rspunsul va conine urmtoarele informaii: Severitatea - o valoare dintr-o scar arbitrar cum ar fi: info, warning, minor, major, critical, etc.
136

Cod de ncheiere - dac contextual urmeaz s fie nchis (de exemplu inta nu este afectat de ncercarea de intruziune) Mesaj - un mesaj nou formatat care va fi adugat la contextual actual, n acest fel putndu-se activa module de analiz suplimentar.

4.6.4 Analiza de comportament

Determin dac ncercarea este conform politicii de securitate. Acest gen de analiz se va utiliza pentru managementul accesului la conturi, dar poate fi implementat i n cazul auditrilor scanrilor de porturi. ntr-o astfel de situaie un cod de ncheiere este trimis ctre context. n mod tehnic, aceast analiz se va efectua n mod similar celei structurale - prin intermediul unor module specifice a cror structur este ncrcat din seciunea Politici de securitate a sistemului K.

4.7 Raportarea i rspunsul la incidente

Pentru arhitectura de monitorizare a securitii prezentat n figura 4.3 se regsesc dou interfee utilizator: consola arhitecturii de monitorizare (disponibil furnizorului de servicii) i portalul pentru client (cu informaii specifice despre activitatea i starea infrastructurii clientului monitorizat).

4.7.1 Consola arhitecturii de monitorizare

Consola arhitecturii de monitorizare (sisteme R) este destinat analizei interne, accesului la datele neformatate din diferite sisteme ale arhitecturii cum ar fi: K i D. Consola are n principal trei clase de interfee: Interfa de monitorizare n timp real - ofer acces direct la datele din mesajele stocate pe sistemele stocate D. Aceasta permite funcii generice de filtrare de tipul grep pentru izolarea anumitor mesaje i este utilizat pentru analiza n detaliu a unor evenimente specifice i a rspunsului la acele evenimente. Interfaa de rspuns la incidente - este motorul intern folosit pentru generarea i actualizarea nregistrrilor incident i a procedurilor de rspuns descrise mai jos. Interfaa ofer informaii detaliate de alert precum i date de depanare. Aceasta este o interfa de complexitate ridicat deoarece trebuie s adreseze aspecte de performan operaional, ergonomicitate, filtrare avansat, identificare i cutare. Una din cerinele de baz este n a asigura suport pentru un rspuns eficace i eficient la intruziuni. Interfaa pentru analiz statistic - ofer acces la datele surs ale activitii de securitate pe termen scurt ct i evoluia pe termen mai lung. Aceste date vor fi utilizate n special pentru reprezentri grafice.

4.7.2 Portalul pentru client

Portalul clientului ofer date formatate despre activitatea de securitate. Acesta este proiectat pentru a oferii rapoarte pe mai multe nivele destinate att inginerilor de securitate ct i managementului din organizaia clientului. Portalul este alctuit din trei poriuni: Interfaa de evaluare continu a riscului - ofer informaii despre nivelul curent de securitate al sistemelor i versiunilor de software monitorizate (nivelul general

137

de securitate, caracteristicile i nivelul critic al vulnerabilitilor, scenarii de intruziune i detalii de configurare i patching). Activitatea de securitate - prezint rapoarte de evoluie pe termen mediu i lung legate de tipuri de intruziune, frecvene, surse, consecine asupra sistemelor monitorizate. Activitile pe termen scurt pot fi folosite n suportul identificrii surselor recurente de atac sau a serviciilor urmrite cu precdere de atacator, pentru a elabora sau reevalua controalele de securitate asociate acestor aspecte. Starea de securitate - permite accesul la incidentele n curs de desfurare, sistemele atacate i a cilor de intruziune activate de atacatori. Interfaa ofer informaii despre procedurile de rspuns i escaladare disponibile la momentul respectiv pentru contracararea atacului.

4.7.3 Procedurile de rspuns i escaladare

Rspunsul la un atac reprezint setul de proceduri i msuri organizatorice care trebuie aplicate de echipele de rspuns la incident. Rspunsul poate varia de la o monitorizare pasiv pentru a colecta informaii suplimentare pn la oprirea n sistem de urgen a sistemului monitorizat i raportarea incidentului ctre CERT. [Cer--]. Scenariile de rspuns i procedurile din documentaie vor fi validate i vor fi securizate, n principal n termeni de integritate. Nivelele de escaladare (raportarea i solicitarea implicrii nivelului imediat urmtor) trebuie definite pentru a asigura o reacie rapid i eficace, n paralel cu utilizarea corespunztoare a resurselor umane disponibile. Un alt aspect ce trebuie menionat este ntrzierea (timpul TLimit, figura 4.12) dup care procedura de rspuns trebuie iniiat n conformitate cu nivelul de severitate a atacului. Odat ce aceast ntrziere este consumat, escaladarea ctre nivelul urmtor raportarea i implicarea managementului - se va produce n mod automat. Procedura de escaladare este prezentat n Figura 4.12 i definete trei nivele de escaladare dup cum urmeaz: Nivelul 1 - personalul tehnic de nivel mediu, care este capabil s neleag i s interpreteze evenimentele generate de sistemele A, precum i aplicarea procedurii de rspuns. Agenii raporteaz incidentele ctre nivelul 2 n cazul n care evenimentul observat este unul necunoscut, reacia predefinit este nedocumentat, sau timpul limit TLimit (timpul alocat pentru rezolvarea incidentului la nivel1) este depit. Nivelul 2 - personalul tehnic de nivel expert. Aceti experi sunt responsabili pentru analiza evenimentelor de intruziune noi. Prioritatea acestora este de a stabili nivelul de severitate a intruziunii, i a oferi o soluie de moment pentru agenii de la nivel 1, precum i de a continua cercetarea i identificarea unei soluii permanente post incident. Nivelul 3 - ar trebui s fie un laborator n care pachetele suspecte, operaiile efectuate de sisteme, vor fi reproduse pentru a determina natura noului tip de intruziune i de a oferi o procedur de rspuns complet elaborat. Laboratorul va fi responsabil cu contactarea furnizorilor sistemelor de operare, aplicaiilor, hardware-ului, pentru proiectarea patch-ului.

138

Figira 4.12 - Procedura de escaladare

4.8 Riscuri i ameninri la adresa arhitecturii de monitorizare

Pentru a crete gradul de complexitate al atacului, atacatorul va cuta s-i menin gradul de anonimat, s evite detecia sau, n cel mai bun caz, s par normal. n caz c nu reuete, atacatorul va cuta s degradeze sau s stopeze colectarea de evidene,

139

fapt care va complica investigaiile de dup incident. Practica a artat c atacatorii exploateaz n esen consecinele unui management deficitar i lipsa de experien.

4.8.1 Meninerea gradului de anonimat

Indiferent de faza de compromitere a victimei, atacatorul va cuta ntotdeauna s-i pstreze gradul de anonimat. Atacatorii caut s rup orice legtur ce se poate stabili ntre staia de la care au lansat comenzile i victimele atacurilor. Modalitile prin care atacatorul i poate menine un grad ridicat de anonimat sunt [PPN06-02]: Lansarea atacurilor de pe staii deja compromise, pentru care nu exist o afiliere direct cu atacatorul. Atacurile complexe realizeaz fiecare etap de compromitere utiliznd diferite adrese IP surs, singurul numitor comun n acest caz fiind adresa IP destinaie. Aprarea are dou metode la dispoziie pentru a rezolva ecuaia anonimatului: conlucrarea cu administratorii mainilor folosite n atacul asupra victimei finale penetrarea mainii de pe care s-a generat atacul (reverse hacking), dar care nu se recomand deoarece penetrarea altor sisteme este ilegal conform multor legislaii, chiar dac se face n scopul de autoaprare. Atacuri prin utilizarea de adres surs modificat (spoofing). Dei multe implementri TCP/IP prezint o predictibilitate n ceea ce privete alocarea numerelor de secven lipsa unor atacuri, care s utilizeze aceast caracteristic a determinat experii n domeniu s concluzioneze atacurile de tip Mitnick - cu adres IP modificat i determinarea numerelor de secven TCP are probabilitate sczut. Atacurile frecvente care folosesc adrese spoofed sunt cele de tip DoS, n care nu se ncheie negocierea complet pentru stabilirea sesiunii. n ultimii ani s-a observat c atacatorii au folosit din ce n ce mai puin adrese surs IP modificate. O motivaie ar fi faptul c din ce n ce mai muli utilizatori utilizeaz conexiuni broadband, ceea ce face ca atacatorii s aib o baz mult mai mare de victime [Ver11]. Atacuri dintr-un alt bloc de reea. Atacatorii elevai, familiarizai cu BGP (border gateway protocol) pot ncerca publicarea propriilor rute pe durata atacurilor, beneficiind de filtrarea necorespunztoare a ruterelor la nivelul furnizorului de servicii. Atacuri declanate de pe o staie de ncredere pentru victim. n general, aceast tehnic exploateaz ncrederea acordat unei alte staii sau grup de staii. Atacuri dintr-un bloc de reea familiar. Atacurile declanate de pe o staie din acelai ora sau aceeai ar pot scpa neobservate utilizatorilor i analitilor. Atacul asupra clientului i nu a serverului. Aceast tehnic se bazeaz pe faptul c conexiunile ctre exterior sunt mult mai puin verificate dect conexiunile ctre interior. Atacarea clientului presupune oferirea unui serviciu maliios i ateptarea clienilor vulnerabili (potenialele victime s se conecteze la servere). Utilizarea de intermediari publici. Aceast tehnic este utilizat dup ce una din metodele anterioare a compromis victima, n special pentru comunicarea ntre atacatori i victim. Actualmente, majoritatea atacatorilor prefer s controleze victimele prin intermediul canalelor IRC sau reele P2P.

140

4.8.2 Evitarea deteciei

Tehnicile prin care atacatorul caut sa-i pstreze anonimatul sunt relativ simple, n marea majoritate bazndu-se pe o alt staie care s conduc defensiva ctre piste false. Aceste tehnici nu-l fac pe atacator invizibil, ci doar mai greu de depistat [Mat11]. Dintre cele mai semnificative tehnici se amintesc: Coordonarea n timp a atacului. Pentru atacator timpul poate fi un aliat foarte bun. Sondarea victimei la intervale suficient de mari poate fi confuz i trece neobservat. Aprarea ar trebui s gndeasc acest tip de problem n acelai fel ca i tehnicile de pstrare a anonimatului: orientarea ctre victim. Distribuirea atacurilor n ntreg spaiul de adrese IP. Distribuia temporal a traficului de atac, este adesea nsoit i de o distribuie spaial n Internet. Tehnicile distribuite au devenit populare odat cu atacurile DDoS. Utilizarea criptrii. Atacatorul poate folosi criptarea pe durata diferitelor faze ale compromiterii, dar n limitele stabilite de victim (pe durata recunoaterii, exploatrii atacatorul este limitat la metodele de criptare oferite de staia int). Aceast tehnic devine din ce n ce mai interesant pentru atacatori, deoarece un numr din ce n ce mai mare de servicii ofer criptare. Exemple de servicii care utilizeaz mecanisme de criptare i care ar putea fi compromise de atacatori ar putea fi: HTTPS, secure pop (port 995), SMTP peste TLS, open SSH, etc.

4.8.3 Generarea de trafic normal

Dac activitatea atacatorului se nscrie n caracteristicile utilizatorului legitim, descoperirea incidentului este dificil de realizat. Dou tipuri de atacatori sunt extrem de dificil de detectat: utilizatorii interni i impersonarea unui utilizator legitim (atacatorul care a reuit s obin un cont i o parol care i permite accesul la informaia care o dorete). O metod eficient de combatere a impersonrii o reprezint utilizarea autentificrii pe baz de doi factori: parol i token. Comportarea normal a atacatorului este necesar mai ales n cazul penetrrii site-urilor monitorizate de sisteme IDS bazate pe anomalii. Cu ct comportamentul atacatorului este n limitele utilizatorului normal, probabilitatea de a genera o alert este sczut [Gu07].

4.8.4 Degradarea sau stoparea procesului de monitorizare

Reprezint o alt modalitate de a exploata produse (atacarea senzorilor sau dispozitivelor de colectare i tergerea informaiilor de jurnalizare), persoane (activiti de diversiune pentru a distrage atenia personalului ce efectueaz analiza) sau procese (separarea fizic a analistului de consol) n scopul perturbrii operaiilor arhitecturii de monitorizare. Diversiunile pot urmri att intoxicarea cu trafic prefabricat, ct i crearea unui volum mare de alerte. Atacurile de volum sunt cel mai adesea cauzate de alegerea ineficient a semnturilor IDS, i genereaz probleme datorit timpului i efortului necesar investigrii tuturor alertelor. Atacurile asupra senzorilor se desfoar n dou etape. n prima se urmrete identificarea adreselor IP care efectueaz monitorizarea traficului, iar apoi se declaneaz atacul propriu-zis.
141

Una din puinele posibiliti pe care atacatorul le are s detecteze senzorii l reprezint exploatarea serviciului DNS. Presupunnd c atacatorul are vizibilitate sau controlul asupra serviciului DNS pentru un anumit bloc de reea, acesta poate trimite pachete de sondare n care adresa IP sursa este asociat cu serverul DNS respectiv. Dac senzorul este configurat s rezolve adresele IP din pachetele recepionate, va transmite cereri ctre serverul DNS care sunt interceptate de atacator. Metode mai eficiente pentru detecia sistemelor ce funcioneaz n regim de monitorizare sunt bazate pe protocolul ARP [San01], i presupun accesul la segmentul LAN n care senzorul este plasat. Atacurile asupra senzorului pot fi de tip: [CVE--] DoS - vizeaz resursele senzorului cum ar fi CPU, memoria, disc, band Exploatri de vulnerabiliti n aplicaiile de monitorizare rulate pe senzori Atacurile ndreptate asupra procesului urmresc att culegerea de informaii despre personal i echipamente utiliznd mijloace specifice ingineriei sociale, ct i perturbarea activitii n locaia unde se desfoar monitorizarea (Centrul Operaional de Securitate) prin mijloace specifice de diversiune cum ar fi de exemplu alarme de incendiu, ameninri cu bombe, etc. Soluia pentru astfel de situaii o reprezint o politic riguroas de revizuire a alertelor. Un politic de monitorizare solid se bazeaz pe principiul rspunderii analistului pentru tratarea fiecrei alerte generate.

4.8.5 Probleme organizaionale

n ciuda tuturor atacuri de natur tehnic amintite anterior, problema major n operarea unei arhitecturi de monitorizare graviteaz n jurul personalului i proceselor. Verificarea i motivarea personalului, pregtirea profesional continu sunt aspecte pe care managementul trebuie s le considere pentru a asigura succesul operaional al arhitecturii de monitorizare.

142

Motto: Toate adevrurile sunt uor de neles odat ce au fost descoperite. Problema este s fie descoperite. - Galileo Galilei

CAPITOLUL 5

MONITORIZAREA SECURITII N CONDIII DE INCERTITUDINE

Prin activitile care le desfoar n etapele premergtoare, ct i pe durata unei intruziuni, atacatorii pot folosi tactici specifice confruntrilor din spaiul militar pentru inducerea n eroare a sistemelor de detecie avnd ca rezultat date de monitorizare incerte, i confuze. O serie de aciuni pe care atacatorul le poate ntreprinde pentru a diminua calitatea datelor de monitorizare au fost prezentate n seciunea 4.8, i este de ateptat o diversificare i rafinare pe viitor a acestor tactici (diversiune, dezinformare, camuflaj, etc.) [Mat11]. n plus, transpunerea a tot mai multor activiti umane n spaiul virtual, conjugat cu dinamica schimbrilor de ordin tehnologic, va determina o complexitate crescut a arhitecturilor IT i a proceselor de management asociate acestora. Conform principiului incompatibilitii dintre precizie i complexitate, care se manifest puternic la sistemele umanoide [Zad86], este de ateptat ca, n ceea ce privete managementul securitii, aceast complexitate s se traduc prin disponibilitatea unei mase mari de date i informaii, dar care va avea un coninut din ce n ce mai ridicat de imperfeciune. Capitolul de fa i propune realizarea unui experiment de monitorizare securitii pe baz de evenimente generate de surse (IDS) ce nu prezint confiden deplin asupra celor raportate. Metodologia utilizat n acest sens cuprinde urmtoarele elemente: cercetarea cauzelor de imperfeciune a datelor, identificarea unor modele matematice ce pot adresa date imperfecte, construirea modelului experimental i a aplicaiei de experimentare, realizarea experimentului i interpretarea rezultatelor obinute, concluzii i direcii ulterioare de experimentare.

5.1 Categorii de imperfeciune a datelor

Imperfeciunea datelor, trebuie ncorporat n sistemele ce ncearc s ofere o modelare ct mai corect a realitii. Acest lucru este ns greu de realizat prin utilizarea soluiilor actuale oferite de sistemele de management a informaiilor. Un motiv major ar putea fi gsit n dificultatea nelegerii diferitelor aspecte ale imperfeciunii i a reprezentrii cunotinelor imperfecte. Datele se consider perfecte atunci cnd sunt precise i sigure. Principalele cauze ale imperfeciunii sunt [Sme96]:
143

Imprecizia acoper aspectele legate de coninutul datelor cum ar fi: proprietatea, raportarea la lumea extern, neglijena, etc. Inconsistena acoper aspectele legate de contradicii, incoeren, etc. Incertitudinea este determinat de lipsa datelor i unele aspecte legate de imprecizie

Pe baza clasificrii lui Smet [Sme96], a imperfeciunii informaiilor, se identific urmtoarele aspecte ale imperfeciunii datelor n sfera monitorizrii securitii:
Cauza Clasa Caracteristica Descriere Exemplu Alarme generice ale sistemelor IDS (ce nu izoleaz cauza) Documentarea incomplet a unui incident anterior Sisteme introduse incomplet n baza de cunotine

Ambigue Date neafectate de erori Incomplete Deficiente Invalide Date afectate de erori Incorecte Fr sens Distorsionate Bazate pe premise incorecte Incoerente

Poate avea mai multe interpretri Anumite pri din date lipsesc Anumite pari de date eseniale procesrii lipsesc Neconformitate cu realitatea Date incorecte sau greite Date ce nu respect specificaiile protocoalelor Greit dar nu departe de adevr Datorate unei erori sistematice Concluzii diferite pe baza datelor Incoeren cu conotaie temporal Incompatibilitate ntre date Legat de realitate i de date Opinia agentului expert legat de validitatea datelor determinat pe baza informaiilor existente

Imprecizie

Alerte IDS false (false positives) Trafic injectat de atacator Trafic de atac la implementrile de protocol Rapoarte de stare ce iau n calcul date incorecte Reguli de detecie incorecte Un sistem de detecie genereaz alerte, n timp ce altul, avnd acelai cmp de vizibilitate, nu indic probleme. Monitor care la anumite intervale regulate nu raporteaz starea. Cazul procesul de analiz a evenimentelor n care entiti de date par imposibil de a coexista. Posibilitatea unui atac asupra organizaiei n evaluarea unei intruziuni n curs de desfurare, agentul (analist de securitate sau aplicaie) poate considera datele prezentate ca probabile, ndoielnice, posibile, nefiabile, or nerelevante.

Inconsisten

Date

Inconsistente

Conflictuale Date Obiectiv

Incertitudine Agent Subiectiv

Tabelul 5.1 Categorii de imperfeciuni a datelor procesul de monitorizare a securitii

Teoriile tradiionale de tratare a informaiilor imperfecte (cum ar fi teoria clasic a probabilitilor), au limitri n ceea ce privete adresarea cazurilor complexe, cum ar fi de exemplu cele cu un grad ridicat de informaie vag, nesigur, imprecis, ambigu i
144

conflictual, iar multitudinea de preocupri n zona modelrii imperfeciunii (teoria posibilitilor bazate pe seturi fuzzy, teoria evidenelor, teoria probabilitilor imprecise, etc.) reflect recunoaterea asupra dimensiunilor multiple ale imperfeciunii. Avnd n vedere modul de generare a evenimentelor de securitate de ctre sistemele de detecie a intruziunilor (pe baza unor evidene sau indicatori observai n traficul de date, fiierele de jurnalizare, starea sistemului, etc.), precum i parametrul utilizat pentru evaluarea calitii alertelor generate (rata de alarme false, sau nivelul de ncredere n alerta generat), se alege teoria evidenelor pentru modelarea imperfeciunii datelor ce vor fi evaluate n cadrul experimentului. n contextul teoriei evidenelor, rezolvarea unei probleme de fuziune (combinare a informaiilor de alert avnd ca scop o estimare ct mai bun a strii de securitate a entitii monitorizate) presupune [Sma04]: Definirea clar a cadrului de discernmnt Alegerea corespunztoare a modelului Selectarea setului corespunztor pe care vor fi definite funciile de ncredere Alegerea unei reguli eficiente de combinare a funciilor de ncredere Stabilirea criteriului adoptat pentru luarea deciziei In cazul unei fuziuni dinamice (n care cadrul sau modelul se schimb n timp) se stabilesc condiiile n care se face schimbarea i detaliile de tranziie. n urmtoarele dou paragrafe vor fi prezentate modele matematice reprezentative pentru teoria evidenelor, precum i etapele rezolvrii problemei de fuziune.

5.2 Teoria Dempster-Shafer (TDS)

Unul dintre modelele matematice ce permite lucrul n condiii incerte este cunoscut sub numele de teoria raionamentului bazat pe eviden (sau teoria Dempster-Shafer TDS)[Sha76]. Premisa teoriei a constituit-o faptul c ignorana unui agent fa de o afirmaie nu trebuie s determine mprirea n mod egal a probabilitii ntre valoarea de adevr i cea de fals, aa cum se asum n raionamentul probabilistic clasic. Mai mult, n cazul n care exist posibilitatea ctorva alternative singulare mutual exclusive (singletons), iar agentul poate stabili probabilitile doar pentru cteva dintre acestea, conform raionamentului probabilistic clasic, probabilitile rmase trebuie distribuite ntr-o anumit manier ntre celelalte alternative. Definiie: = {1 , K , n } se numete cadru de discernmnt al problemei de fuziune, unde i cu i = 1, K , n reprezint setul de ipoteze. Modelul Shafer ( M0 () ) presupune c i ( i = 1, K , n ) sunt precis identificate astfel nct s asigure exclusivitatea i exhaustivitatea ipotezelor. Dac este deschis (condiia de exhaustivitate nu este ndeplinit), se poate adaug un element n +1 de nchidere astfel nct s se lucreze cu un cadru nchis {1 ,K, n , n +1} . Astfel, fr a pierde din generalitate, se va considera c = {1 ,K, n } formeaz un cadru de discernmnt nchis. n TDS iniial, subseturile sunt construite ca propoziii, unde propoziiile de interes au

145

forma: P ( A) Valoarea de adevr a lui este ntr-un subset A din .

Avnd n vedere izomorfismul ntre P ( A) i A, pentru simplicitate i consisten cu terminologia adoptat n alte teorii curente, se va utiliza o reprezentare bazat pe mulimi n definiiile ce vor urma. Definiie: Se numete setul de putere (power set) 2 (,) mulimea alctuit din toate submulimile lui creat pe baza urmtoarelor reguli: , 1 , K , n 2 .

Dac A, B 2 , atunci A B 2 .
2 nu conine nici un alt element cu excepia celor obinute utiliznd primele doua reguli.

Pentru = {1 , 2 , 3 } , se obine
2 = {,{1},{ 2 }, {3}, {1 2 }, { 2 3},{1 3}, {1 2 3}} , avnd cardinalitatea | 2 |= 8

Definiie: Se numete masa de ncredere de baz (numit simplu i funcia de mas), funcia m(.) : 2 [0,1] asociat unui corp de eviden B dup cum urmeaz: m() = 0 i

m( A) = 1
A2

(1)

valoarea m( A) este denumit masa generalizat de ncredere de baz a lui A . Definiie: A este un element focal al spaiului de fuziune 2 dac m( A) > 0 . Definiie: Se definesc funciile ncredere (credibilitate) i cea de plauzibilitate pentru A dup cum urmeaz:

Bel( A) =

m( B )
B A B2

Pl( A) =

m( B )

(2)

B A B2

Bel(A) reprezint masa total de informaii care implic existena lui A, iar Pl(A) este masa total de informaii consistent cu A.

5.2.1 Regula de combinare DS

Fuziunea a dou surse independente cu mase m1 (.) , m 2(.) i avnd aceeai fiabilitate se efectueaz pe baza formulei urmtoare:
m() = 0 i pentru A 2 \ {} , m DS ( A) =

1 1 k12

X ,Y 2 X Y = A

m1 ( X ) * m2 (Y ) ,

(3)

146

unde k12 =

m1 ( X ) * m2 (Y ) reprezint gradul total de conflict

(4)

X ,Y 2 X Y =

Efectul factorului de normalizare 1 k12 din (3) const n eliminarea componentelor de informaie conflictuale ntre cele dou surse combinate. Regula DS realizeaz o combinare de tip conjunctiv, este asociativ i comutativ, putnd fi astfel aplicabil pentru N>2 surse. De asemenea, n cazul cnd elementele focale sunt doar singletons (ipoteze singulare din ), regula devine una consistent cu una de tip Bayes n care m(.) P(.) . Regula prezint limitri n situaii cu conflict ridicat (valoarea lui k12 mare), iar cnd k12 = 1 , masa combinat m(.) nu este definit, iar cele dou surse de eviden sunt n contradicie total. Soluiile curente constau n aplicarea unor tehnici de selectare adhoc a unor valori prag asupra acceptrii (sau respingerii) rezultatelor de fuziune, sau aplicarea unei tehnici de tip actualizare asupra surselor. Departe de a adresa riscul prezentat de limitrile menionate anterior, aceste soluii transfer riscul n alte zone cum ar fi: modul de selectare a valorii de prag, modul de executare a actualizrii n absena unor date statistice, etc. O serie de eforturi au fost depuse n zona identificrii de noi reguli de combinare bazate pe modelul Shafer care s adreseze limitrile regulii de combinare. [Dub86] [Yag87] [Ina91] Cum monitorizarea securitii mediilor complexe genereaz uneori date impredictibile, se recomand o utilizare circumspect a regulii de combinare DS. Pentru exemplificarea modului de operare a acestei reguli de combinare, se consider un cadru de discernmnt = {1 , 2 } unde 1 este ipoteza de trafic de atac, iar 2 este ipoteza de trafic legitim, iar m1 (.) , m 2(.) sunt funciile de mas asociate unor sisteme IDS independente ale cror valori sunt exemplificate mai jos:

Figura 5.2 - Exemplu combinare DS

n cazul combinrii informaiilor provenind de la surse cu fiabilitate diferit, este necesar actualizarea prealabil a maselor, prin alocarea procentului corespunztor de nefiabilitate ctre ignoran. Considernd o surs nefiabil avnd funcia de mas m(.) , i un indice de fiabilitate [0,1] unde = 0 reprezint surs total nefiabil (sau ignorant), iar = 1 surs total fiabil, actualizarea valorilor funciei de mas se va efectua pe baza urmtoarelor formule:

147

(5)

Figura 5.3 - Formulele de ajustare a maselor pe baza fiabilitii senzorului

Aceast ajustare necesit ns un proces adecvat de estimare a factorului de fiabilitate a fiecrei surse, bazat pe experimente statistice validate.

5.3 Teoria Dezert-Smarandache (TDSm)

Pentru a adresa situaiile n care este necesar combinarea informaiilor provenind de la surse imprecise, nesigure, i aflate n conflict, Jean Dezert i Florin Smarandache au extins teoria TDS prin relaxarea condiiei de exclusivitate mutual a elementelor cadrului de discernmnt, punnd bazele unei noi teorii care le poart numele (TDSm). Spre deosebire de TDS, TDSm permite combinarea formal a informaiilor provenite de la orice tip de surse independente, reprezentat n pe baza funciilor de ncredere. TDSm i-a artat deja utilitatea n rezolvarea unor probleme complexe de fuziune n mod special atunci cnd conflictul ntre surse este ridicat, sau rafinamentul spaiului de discernmnt , este dificil de realizat datorit naturii vagi, imprecise a elementelor din [Sma04]. Definiie: Se numete set hiper-putere (hyper-power set) D (,,) structura alctuit din toate submulimile lui = { 1 , K , n } utiliznd operatorii i dup cum urmeaz: , 1 , K , n D

Dac A, B D , atunci A B D i A B D
D nu conine nici un alt element cu excepia ce lor obinute utiliznd regulile 1 i 2.

Cardinalitatea seturilor de hiper putere urmeaz irul de numere Dedekind. Cnd = {1 , 2 , 3 } , se obine D = { 0 , 1 , K , 18 } cu cardinalitatea | D |= 19 [Sma04].

0 = 1 = 1 2 3 2 = 1 2 3 = 1 3 4 = 2 3 5 = (1 2 ) 3 6 = (1 3 ) 2 7 = ( 2 3 ) 1 8 = (1 2 ) (1 3 ) ( 2 3 ) 9 = 1

10 = 2 11 = 3 12 = (1 2 ) 3 13 = (1 3 ) 2 14 = ( 2 3 ) 1 15 = 1 2 16 = 1 3 17 = 2 3 18 = 1 2 3
| |= 3 148

Figura 5.4 Setul de hiper-putere pentru un spaiu de discernmnt cu

Pentru Modelul Shafer ( M0 () ), setul de hiper putere se reduce la setul de putere clasic ( D 2 )
| |= n
2 3 4 5

| 2 |= 2 n
4 8 16 32

| D |
5 19 167 7580

Tabelul 5.2 - Cardinalitatea setului de putere i a celui de hiper-putere

5.3.1 Funciile generalizate de ncredere

Definiie: Pentru un cadru general , se definete funcia de masa m(.) : G [0,1] asociat unui corp de eviden B dat ca fiind: m( ) = 0 i m( A) = 1 (6)
AG

Definiie: Se definesc funciile ncredere (credibilitate) i cea de plauzibilitate pentru A n mod similar TDS i anume: Bel( A) = m( B) Pl( A) = m( B ) (7)
B A BG B A BG

G este o notaie generic pentru un set pe care funcia de mas este definit ( G poate fi 2 sau D n funcie de modelul ales pentru ). Aceste definiii sunt compatibile cu definiiile funciilor clasice de ncredere ale TDS cnd G = 2 pentru problemele de fuziune unde modelul Shafer M0 () este utilizabil [Sma09].

Pe parcursul capitolului, se vor utiliza diagramele Venn pentru reprezentarea grafic a relaiilor logice posibile ntre elementele lui G . O exemplificare a utilizrii acestora este efectuat n figura 5.5.

Figura 5.5 - Diagramele Venn pentru modelele DSm liber ( M

f

() ), DSm hibrid ( M() ), i Shafer ( M0 () ) cu | |= 3

149

5.3.2 Modele DSm

n funcie de natura (discret sau continu, precis sau vag, absolut sau relativ, etc) conceptelor implicate n procesul de fuziune, se stabilete granularitatea modelului utilizat pentru cadrul de fuziune dup cum urmeaz [Sma06]: Modelul DSm liber ( M f () ) - impune o singur condiie asupra elementelor i , i = 1, K , n ale cadrului de discernmnt , i anume cea de exhaustivitate (cadrul de discernmnt nchis). Elementele cadrului sunt vagi i se pot suprapune. Este util n manipularea conceptelor continue, avnd o interpretare relativ (n care rafinamentul total este indisponibil) Modelul DSm hibrid ( M() )) presupune introducerea unor constrngeri de integritate n M f () . Unele elemente ale cadrului pot fi exclusive sau inexistente n cazul anumitor fuziunii datelor pentru anumite aplicaii. Modelul Shafer (( M0 () )) este un caz special de M() n care toate elementele exhaustive ale cadrului sunt cunoscute a fi exclusive

5.3.3 Regula de combinare clasic DSm

Dac modelul liber M f () este adecvat problemei de fuziune ce trebuie adresate, regula clasic de combinare m
M f ( )

m(.)

[m1 m2 ](.) a dou surse independente de

eviden B1 i B 2 pe acelai cadru avnd funciile mas m1 (.) i m2 (.) corespunde consensului conjunctiv al surselor i este dat de formula:

C D ,

M f ()

(C ) m(C ) =

A, BD A B = C

m1 ( A)m2 ( B)

(8)

Figura 5.6 - Algoritm implementare regul combinare clasic DSm

Datorit numrului mare de elemente n D cnd cardinalitatea lui crete (vezi tabelul 5.2), regula clasic de combinare va necesita foarte multe resurse computaionale i de memorie. Totui n cazul multor aplicaii practice, cardinalitatea nucleelor K 1 (m1 ) i K 2 (m2 ) (seturile de elemente focale A D unde m1 ( A) > 0 sau m2 ( A) > 0 ) este mult mai mic dect cea a lui D , putndu-se astfel realiza unele

150

optimizri de implementare a regulii de combinare clasic DSm [Sma04]. Regula de combinare este foarte uor de implementat. Pentru ilustrare se ofer algoritmul utilizat n implementarea toolkit-ului de funcii DSm realizat de A. Martin care opereaz pe un set redus ( Dr ) al lui D care conine numai nucleele ce trebuie combinate [Mar11].

5.3.4 Regula de combinare DSm hibrid (DSmH)

Cnd M f () nu este conform cu natura problemei de fuziune considerate i necesit luarea n considerare a unor constrngeri de integritate cunoscute, se va opera cu un model DSm hibrid construit corespunztor M() M f () .

Definiie: Se definete mulimea vid extins { M , } care include M (mulimea tuturor elementelor D care au fost forate a fi vide prin aplicarea constrngerilor asupra modelului M ) i mulimea vid clasic. Definiie: Se numete funcia caracteristic de existen ( A) a unui set A, funcia definit dup cum urmeaz:

( A) = 1 dac A i ( A) = 0 dac A

(9)

Avnd ca punct de plecare regula Dubois & Prade [Dub86], se definete pe modelul DSm hibrid ales M() cu k 2 surse de informaie independente regula de combinare DSm hibrid (DSmH) pentru A D ca fiind:
m DSmH ( A) = mM( ) ( A)

( A)[ S1 ( A) + S 2 ( A) + S 3 ( A)]

(10)

unde S1 ( A) m

M f ( )

( A) , S 2 ( A) , S 3 ( A) sunt definite astfel:

k

S1 ( A)

X1 , X 2 ,K, X k D i =1 X1 X 2 K X k = A

m ( X
i k i

(11)

S 2 ( A)

X1 , X 2 ,K, X k i =1 [U = A ][(U ) ( A= I t )]

m ( X
)

(12)

S 3 ( A)

X1 , X 2 ,K, X k D i =1 X1 X 2 K X k = A X1 X 2 K X k

m ( X
i

(13)

cu U

u ( X 1 ) u ( X 2 ) K u ( X k ) unde u ( X ) este reuniunea tuturor i care compun

X , iar I t = 1 2 K n este ignorana total.

S1 ( A) corespunde regulii de combinare clasic DSm pentru k surse independente bazate pe modelul liber M f () ;

151

S 2 ( A) reprezint masa tuturor seturilor relativ sau absolut vide care este transferat ctre ignorana relativ sau total asociat cu o constrngere de tip non-existen
S 3 ( A) transfer suma seturilor relative vide direct ntr-o form canonic disjunctiv de seturi nevide.

Regula de combinare pentru DSm hibrid generalizeaz regula de combinare clasic DSm i nu este echivalent regulii DS. Poate fi utilizat pentru orice model (modelul liber, modelul Shafer, sau orice model hibrid) atunci cnd manipuleaz funcii de ncredere generalizate precise. O extensie a acestei reguli pentru combinarea de funcii de ncredere generalizate imprecise este disponibil n [Sma04].
Date intrare:

S1 :

S3 :

S2 :

( X 1 , X 2 ) , S1 [] , S 2 [] , S 3 [] A = (X1 X 2 ) if ( A ) este constrngere then go to S 3 else S1 ( A) = S1 ( A) + m1 ( X 1 ) m 2 ( X 2 ) A = (X1 X 2 ) if ( A )este constrngere then go to S 2 else S 3 ( A) = S 3 ( A) + m1 ( X 1 ) m 2 ( X 2 ) A = (u ( X 1 ) u ( X 2 )) if ( A ) este constrngere then I t = I t + m1 ( X 1 ) m2 ( X 2 ) else S 2 ( A) = S 2 ( A) + m1 ( X 1 ) m 2 ( X 2 ) (X1, X 2 )

Figura 5.7 - Algoritm de aplicare a regulii de combinare DSmH asupra unei perechi

5.3.5 Regula de redistribuire proporional a conflictului

Scopul regulii de redistribuie proporional a conflictelor este de a transfera (total sau parial) masele de conflict ctre seturi nevide implicate n conflict n mod proporional cu masele asociate acestora de ctre surse dup cum urmeaz: Calculeaz regula conjunctiv a maselor de ncredere :

m12 ( X ) =

X 1 , X 2 G X1 X 2 = X

m1 ( X 1 )m2 ( X 2 )

(14)

Calculeaz toate masele n conflict:

k12 =

X 1 , X 2 G X X 2 =

m1 ( X 1 )m2 ( X 2 ) , unde m1 ( X 1 )m2 ( X 2 ) este masa de conflict parial (15)

Redistribuie masele n conflict (totale sau pariale) ctre seturile nevide implicate n conflict n mod proporional cu masele asociate de surse i n conformitate cu toate constrngerile de integritate.

152

Multiplele posibiliti de redistribuie a maselor n conflict, a dus la crearea unei serii de reguli de distribuie a conflictului (cunoscute sub numele de PCR1.. PCR6). Aceste reguli opereaz pentru orice grad de conflict, orice model, i situaii de fuziune static sau dinamic. n continuare este prezentat regula PCR5, considerat a fi cea mai eficient regul de combinare disponibil n acest moment. Formula PCR5 pentru s = 2 surse este [Sma06]
m PCR 5 ( ) = 0 i X G \ {}

m PCR 5 ( X ) = m12 ( X ) +

Y G \{ X } X Y =

m1 ( X ) 2 m2 (Y ) m ( X ) 2 m1 (Y ) + 2 ] m1 ( X ) + m2 (Y ) m2 ( X ) + m1 (Y )

(16)

5.3.6 Exemplu utilizare a regulilor de combinare

Pentru un spaiu de discernmnt format din 2 elemente (A,B), un model Shafer i dou surse de mas m1 (.) , respectiv m2 (.) cu valorile de mas date n liniile corespunztoarele din tabelul de mai jos, se calculeaz m12 (.) pe baza formulei (8) (valorile rezultat n ultima linie a tabelului). Acestea reprezint totodat i valorile pentru regula DSmH:

B
0.3 0.3 =0.3*03+0.3*0.5+03*0.1 0.27

m1 (.) m2 (.) m12 (.)

A B
0.1 0.5 =0.1*0.5 0.05

0.6 0.2 =0.6*0.2+0.6*0.5+0.2*0.1 0.44

Tabelul 5.3 Exemplu combinare pe baza regulii DSm/DSmH

Masa de conflict k12 = 0.24 = m1 ( A)m2 ( B) + m1 ( B)m2 ( A) = 0.24 iar A i B sunt singurele elemente focale implicate n conflict, aa c ele vor primi o parte din masele conflictuale. PCR5 redistribuie masa de conflict 0.18 ctre A i B proporional cu masele m1 ( A) , respectiv m2 ( B) , iar masa de conflict 0.06 ctre A i B proporional cu masele m2 ( A) , respectiv m1 ( B ) .

Valorile pentru regula PCR5 sunt calculate dup cum urmeaz :

153

Valorile pentru regula DS sunt calculate pe baza formulelor (3), (4) i se obin urmtoarele rezultate:

Centraliznd rezultatele n tabelul de mai jos, se observ c ignorana total m DS ( A B) obine prin redistribuire mas adiional, dei nu ar trebui s primeasc nimic din masa conflictual (conform ipotezei PCR5). Regula PCR5 este mai exact dect cea DS

B
0.355 0.270 0.366

A B
0.066 0.290 0.050

mDS mDSmH mPCR 5

0.579 0.440 0.584

Tabelul 5.4 Rezultatele combinrii pe baza regulilor DS, DSmH i PCR5

5.3.7 Transformarea pignistic

Managementului informaiei este un proces cu dou niveluri: credal (cel de combinare a evidenelor), i picnistic (cel de luare a deciziei). Cnd este necesar luarea unei decizii, trebuie construit o funcie de probabilitate pe baza funciilor de ncredere ce descriu starea credal [Sme88]. TDSm urmeaz aceast abordare i ofer cteva opiuni pentru alegerea funciei de probabilitate ce se dorete a fi utilizat pentru luarea deciziei n condiii de incertitudine. O modalitate simpl de construire a funciei de probabilitate are la baz transformarea pignistic clasic definit n cadrul TDS [Sha76]:

BetP{ A} =

| X A| m( X ) |X| X 2

(17)

unde | A | reprezint cardinalitatea lui A (i convenia ca | | / | |= 1 pentru a extinde definiia i pentru BetP{} ).

Definiie: Se definete cardinalitatea DSm ( CM ( A) ) pentru A D ca fiind numrul de pri ale lui A n diagrama Venn corespunztoare modelului M ales i lund n considerare setul de constrngeri i toate interseciile posibile.
Pe baza conceptului de cardinalitate DSm enunat, se definete transformarea pignistic generalizat ca fiind: A D ,

BetP{ A} =

C M ( X A) m( X ) CM ( X ) X D

(18)

154

unde CM ( X ) reprezint cardinalul DSm al propoziiei X pentru modelul DSm M al problemei considerate [Sma06].

Figura 5.8 Cardinalitate DSm

CM ( A) pentru modelul hibrid M() din Figura 5.5

5.4 Experiment de monitorizare a securitii utiliznd TDSm i TDS

Obiectivul acestei seciuni este de a verifica aplicabilitatea TDSm pentru monitorizarea securitii. Pentru simplificare se consider cazul unui detector IDS care genereaz alerte i care vor fi combinate pe baza TDS sau TDSm.

5.4.1 Modelarea deteciei de intruziuni utiliznd teoria DSm

Se alege cadrul de discernmnt = {1 , 2 , 3 } unde ipotezele sunt definite dup cum urmeaz: 1 - activitate legitim

2 - activitate suspect 3 - situaie de intruziune

Pentru reprezentarea problemei se utilizeaz modelul DSm hibrid M() descris pe baza diagramei Venn din figura 5.9.

Figura 5.9 Diagrama Venn pentru problema de detecie a intruziunii

155

Se utilizeaz <xy> pentru a desemna x y , unde x < y i x, y {1,2,3} .

Setul de constrngeri (elemente D care sunt imposibil de obinut) pentru acest model este: { 1 3 , ( 1 2 ) 3 , ( 2 3 ) 1 , (1 3 ) 2 ,

(1 2 ) (1 3 ) ( 2 3 ) , 1 2 3 }.
Se consider c sistemul IDS are un factor de ncredere de 80% n alertele generate. Astfel funcia de mas de ncredere pentru fiecare alert va fi m(.) : G [0,1] m() = 0 m( A) = 0.8 unde A i reprezint rezultatul generat de sistemul IDS, iar m( I t ) = 0.2 reprezint masa asociat ignoranei totale). Pentru combinarea maselor se vor utiliza regulile DSmH i PCR5. De asemenea, se vor evalua rezultatele obinute pe baza acestor reguli cu rezultatul aplicrii regulii DS pe un modelul M 0 () corespunztor cu | |= 3 . Decizia se va lua pe baz transformrii pignistice generalizate (18)

5.4.2 Descrierea experimentului

Se va considera trafic de atac (corespunztor lui 3 ) acela identificat de regulile IDS al cror cmp de prioritate este mai mic dect prioritatea 4. Alertele generate de reguli avnd alt prioritate se vor considera suspecte (i corespund lui 2 ). Dac nici o alert nu este generat, se va considera c activitatea vizibil sistemului IDS este legitim (ipoteza 1 ). Se utilizeaz hping (versiunea 2) [Hpi--] pentru a genera trafic de atac de tip SYN Flood i ping pentru a genera trafic ce va fi identificat ca suspect de sistemul IDS (Snort 2.9.1)[Sno--]. Traficul de atac va fi generat de la adresa 192.168.254.4, iar inta are adresa
192.168.254.101.

Regulile IDS pentru detecia traficului de atac i suspect generat sunt :

............. alert tcp any any -> any any (msg:"Successful Test DOS "; flow: stateless; flags:S,12; threshold: type threshold, track by_src, count 300, seconds 15; classtype:successful-dos; sid:10002;) alert tcp any any -> any any (msg:"My Syn Flood Scenario "; flow: stateless; flags:S,12; threshold: type threshold, track by_src, count 30, seconds 5; classtype:attempted-dos; sid:10008;) ........... alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING Windows"; itype:8; content:"abcdefghijklmnop"; depth:16; reference:arachnids,169; classtype:miscactivity; sid:382; rev:7;) .............

Figura 5.10 Reguli de detecie folosite pentru experiment

Prioritile claselor de intruziune sunt definite n fiierul

156

$SNORT_HOME/etc/classification.config
........... config classification: misc-activity,Misc activity,4 config classification: successful-dos,Denial of Service,2 config classification: attempted-dos,Attempted Denial of Service,3 ...........

Figura 5.11 Prioritile regulilor de detecie folosite pentru experiment

Pe o durat de 10 minute eantionat n intervale a cte 6 secunde fiecare, se creeaz urmtorul tip de trafic: Pentru primele 5 minute (eantioanele 1-50) se genereaz cu o probabilitate de 70% trafic normal, 15% trafic suspect, i 15% trafic de atac Primele ultimele 5 minute (eantioanele 51-100) se genereaz cu o probabilitate de 70% trafic de atac, 15% trafic suspect, i 15% trafic normal
...........
. 09/08-20:40:36.195766 [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 4] {ICMP} 192.168.254.4 -> 192.168.254.101 09/08-20:40:38.589998 [**] [1:10008:0] My Syn Flood Scenario [**] [Classification: Attempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3507 -> 192.168.254.101:8084 09/08-20:40:40.650505 [**] [1:10008:0] My Syn Flood Scenario [**] [Classification: Attempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3537 -> 192.168.254.101:8084 09/08-20:40:42.708614 [**] [1:10008:0] My Syn Flood Scenario [**] [Classification: Attempted Denial of Service] [Priority: 3] {TCP} 192.168.254.4:3567 -> 192.168.254.101:8084 09/08-20:40:43.597842 [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 4] {ICMP} 192.168.254.4 -> 192.168.254.101 09/08-20:40:44.722941 [**] [1:382:7] ICMP PING Windows [**] [Classification: Misc activity] [Priority: 4] {ICMP} 192.168.254.4 -> 192.168.254.101 .........

Figura 5.12 Eantion de trafic de testare

Pe baza definiiei funciei de mas (definit n paragraful precedent), se vor genera valorile funciei pentru fiecare eantion dup cum urmeaz: Dac nu exist nici o alert n eantion, atunci A = 1 (trafic legitim) Dac pentru alertele din eantionul de timp min(Priority)< de atac), altfel A = 2 (trafic suspect) Combinarea datelor se efectueaz dup cum urmeaz:
Date: m[100] - set de 100 nregistrri cu valorile de mas Model_DSmH, Model_Shafer Rezultat: Rezultate combinare Valoare_start= m[random(100)] Masa_SistemDS[0]= Valoare_start Masa_SistemDSmH[0]= Valoare_start Masa_SistemPCR5[0]= Valoare_start #(alege aleator o valoare din setul de nregistri for I=1 to 100 do Masa_SistemDS[I]:= Combinare_DS(Masa_SistemDS[I-1], m[I]) Masa_SistemDSmH[I]= Combinare_DSmH(Masa_SistemDSmH[I-1], m[I]) Masa_SistemPCR5[I]= Combinare_PCR5(Masa_SistemPCR5[I-1], m[I]) done 4

atunci A = 3 (trafic

Figura 5.12 Algoritm de combinare a evenimentelor IDS

157

Pentru implementarea aplicaiei de combinare utilizat n acest test, s-au utilizat rutine Matlab din biblioteca de funcii DST i DSmT realizat de Arnaud Martin [Mar11], precum i rutine create de Pascal Djiknavorian i disponibile n [Sma06][Sma09]. Probabilitile se vor calcula pe baza transformatei generale pignistice. Pentru detalii de implementare a acestor funcii, se poate consulta codul surs disponibil pe CD-ul ataat lucrrii. Rezultatele obinute sunt prezentate n figurile 5.13, 5.14 i 5.15.

5.4.3 Interpretarea rezultatelor obinute

Analiznd rezultatele fuziunii se pot face urmtoarele observaii: Toate combinrile detecteaz schimbarea trendului (care se produce la iteraia #54) n ceea ce privete starea general de securitate, de la preponderent sigur n prima parte a intervalului, la cea de atac n partea a doua. DSmH i PCR5 indic cu o probabilitate de 80% o stare de atac ncepnd cu iteraia #55, n timp ce combinaia DS determin aceast schimbare cu o probabilitate de peste 80% abia la iteraia #57. DSmH i PCR5 identific evenimentele de atac care au loc pe fond de trafic legitim, precum i evenimentele normale pe durata seciunii de atac. PCR5 efectueaz o redistribuie mai bun a conflictului (a se vedea m(1 ) pentru iteraiile din intervalul [15,21].) Rezultatele DSmH ct i PCR5 nu mai sunt cele ateptate atunci cnd aproape toat masa (peste 98%) se acumuleaz n 1 2 sau 2 3 (a se vedea spre exemplu iteraia #41 pentru PCR5 i #37 pentru DSmH). n acest caz probabilitile pignistice vor indica cu aceeai trie att situaie de trafic normal ct i suspect. O soluie pentru a adresa astfel de situaii este de a limita cantitatea de mas care se poate asocia la orice moment de timp unei entiti a diagramei Venn. O recomandare n acest sens este ca orice mas n exces de 0.98 pentru un element s se realoce ctre ignorana total I(t) [Dji10]. Pe baza acestor observaii se poate concluziona aplicabilitatea teoriei DSm pentru monitorizarea securitii n cazul testat. O serie validri utiliznd diferite clase de alarme, i combinri de surse eterogene (IDS de reea i de staie) sunt necesare pentru a crete gradul de confiden n aplicabilitatea teoriei. Pentru o implementare de succes n sisteme reale, este necesar rescrierea rutinelor de combinare i de luare a deciziei utiliznd un limbaj ce permite o rulare mai rapid (cum ar fi C++). Considernd limitrile existente n ceea ce privete adresarea alarmelor false generate de sistemele IDS, precum i previziunile legate de creterea continu a imperfeciunii datelor de securitate, se anticipeaz ca identificarea i utilizarea modelelor matematice ce adreseaz mai eficient datele imperfecte s constituie o preocupare important i n domeniul managementului securitii IT.

158

Figura 5.13 Rezultatele combinrii datelor de trafic utiliznd modelul DS (Shafer)

159

Figura 5.14 Rezultatele fuziunii datelor de trafic utiliznd regula de combinare DSmH

160

Figura 5.15 Rezultatele fuziunii datelor de trafic utiliznd regula de combinare PCR5

161

Motto: Un punct, care ieri era nevzut, este inta atins azi i va fi punctul de plecare mine! - Macanlay

CAPITOLUL 6

CONTRIBUII I REZULTATE TIINIFICE OBINUTE

Plecnd de la abordarea direciilor de cercetare propuse n seciunea introductiv, n perioada de pregtire i de elaborare a tezei de doctorat s-au obinut o serie de rezultate tiinifice i s-au propus contribuii originale, care au fost prezentate n detaliu n coninutul tezei. Ca metodologie de lucru s-a avut n vedere obinerea de rezultate tiinifice i de contribuii originale care s se regseasc n cadrul fiecrui capitol al tezei. Este i motivul pentru care se vor prezenta n continuare, sintetizat, pe capitole, rezultatele tiinifice i contribuiile originale propuse. Astfel, n: Capitolul 1: Elaborarea unui studiu asupra vulnerabilitilor spaiul virtual. Complexitatea i dinamica din spaiul virtual constituie premisele existenei unui volum n cretere i diversificat de vulnerabiliti. Vulnerabilitile pot fi datorate configuraiei, politicii de securitate, utilizatorilor i tehnologiei. Vulnerabilitile tehnologice sunt datorate deficienelor structurale de securitate la nivelul suitei de protocoale de comunicaie TCP/IP sau a implementrilor acestora, deficienelor de securitate n aplicaii, sistemele de operare sau ale echipamentelor de reea. O bun nelegere a spectrului vulnerabilitilor e n msur s contribuie la definirea i implementarea unor strategii de securitate care s ofere rezultatele ateptate. [PPN06-01]

Definirea unui cadru pentru detecia intruziunilor i a procesului de monitorizare asociat acestuia. Pentru a detecta intruziunile, trebuie nelese aciunile necesare pentru compromiterea unei inte. n acest sens se prezint un cadru cu fazele tipice prin care un atacator poate prelua controlul asupra unei victime, i se evalueaz oportunitile de monitorizare corespunztoare fiecrei faze. [PPN08] Extinderea unui model de clasificare a atacurilor n Internet. Odat cu progresele fcute n securizarea tehnologiilor i infrastructurii Internetului, s-a observat o complexitate sporit n elaborarea i managementul intruziunii din partea atacatorilor. n acest context este necesar utilizarea unor formalisme pentru caracterizarea atacurilor, astfel nct s se obin o descriere complet i consistent a acestora. Extinderea efectuat a vizat adugarea de atribute

162

necesare din perspectiva monitorizrii securitii care s ofere un management post incident mai eficient.

Construcia unor scheme pentru atacuri tipice pe baz de mesaje de pot. Avnd la baz principiul arborilor de atac, schemele prezint succesiunea de pai urmai att de atacator ct i de victim pentru ca atacurile s se ncheie cu succes. Schemele sunt utile pentru o nelegere adecvat a cilor de atac, dar i pentru a identifica modul n care tehnologiile disponibile la ora actual pot fi utilizate pentru a reduce vulnerabilitatea la diferitele clase de atacuri. [PPN0601] Elaborarea unei analize comparative a tehnicilor de scanare utilizate n propagarea viermilor. Obiectivul atacurilor pe baz de viermi este de a asigura infectarea a ct mai multor staii, iar detecia propagrii s fie ntrziat. Un rol important n acest sens l are strategia de scanare (de identificare a potenialelor victime), identificarea factorilor care influeneaz performanele de propagare putnd ajuta la elaborarea unei defensive eficiente. Pe baza analizei s-a identificat necesitatea ca sistemele defensive s urmreasc prevenirea atacatorului de la identificarea adreselor IP ale unui numr mare de staii vulnerabile, sau obinerea unor informaii legate de adresele alocate, care determin reducerea spaiului de scanare. [PPN05-01]

Capitolul 2: Construirea unui cadru de definire i implementare a monitorizrii securitii centrat n jurul organizaiei i a activitilor sale. Monitorizarea securitii la nivelul organizaiei se definete ca fiind procesul de meninere n mod constant a ateniei asupra securitii informaionale, vulnerabilitilor i ameninrilor, cu scopul de a oferi suport deciziilor legate de managementul riscului la adresa organizaiei. Obiectivul este de a realiza monitorizarea n mod constant a securitii reelelor i sistemelor informaionale ale organizaiei i de a rspunde prin acceptarea, evitarea, transferul sau adresarea riscurilor atunci cnd sunt schimbri. [PPN08]

Elaborarea unui cadru pentru definirea de metrici de securitate. Asemenea oricrui alt proces, managementul efectiv al securitii nu poate avea loc dac aceasta nu este msurat. Pornind de la modelul CVSS (Common Vulnerability Scoring System) s-a elaborat un cadru pentru definirea de metrici de securitate n organizaie. Aceast contribuie (publicat n [PPN06-05]) a constituit un punct de referin pentru comunitatea tiinific internaional, fiind printre primele cercetri efectuate n zona metricilor de securitate. Definirea i evaluarea unui cadru pentru partajarea informaiilor de intruziune la nivel global. Multe organizaii au implementat programe de rspuns la incidente de securitate, ns continu s trateze atacurile ca evenimente singulare fr a colecta informaii despre ele. Colectarea unor astfel de informaii ar oferi posibilitatea de a analiza evoluia n timp a ameninrilor la adresa organizaiei, precum i oportunitatea identificrii unor riscuri structurale care s poat fi evaluate i n procesul de analiz a riscului. VerIS (Verizon Incident Sharing) Framework permite colectarea i analiza ntr-o manier consistent a informaiilor despre atacuri, astfel nct organizaiile s aib o mai bun nelegere asupra a ceea ce s-a ntmplat, precum i a impactului, analiza

163

comparativ cu starea de securitate a altor organizaii similare (din aceeai industrie, regiune geografic, sau de aceeai dimensiune).

Definirea unui model de monitorizare complet a securitii. Dac iniial monitorizarea strii de securitate viza identificarea ameninrilor (detecia intruziunilor), conceptul a fost ulterior extins i ctre alte zone din sfera securitii IT cum ar fi: monitorizarea conformrii cu politica de securitate, monitorizarea eficacitii controalelor de securitate, monitorizarea vulnerabilitilor controalelor, etc. O soluie de monitorizare complet, care va putea oferi informaii de starea securitii ct mai apropiate de realitate, va trebui s acopere toate elementele cu relevan pentru procesul de securitate: ameninri, vulnerabiliti, controale de securitate, resurse, risc i ageni de ameninare [PNCN09]

Capitolul 3: Sintetizarea i elaborarea unei evaluri asupra tehnologiilor de culegere a datelor utilizate n procesul de monitorizare a securitii. Aceste tehnologii sunt responsabile pentru culegerea de date utilizate n procesul de monitorizare complet a securitii, acoperind toate elementele cu relevan pentru procesul de securitate i anume: vulnerabiliti, management patch-uri, evenimentele i incidentele de securitate, detecia de software maliios, managementul configuraiilor, managementul reelei, managementul inventarului de echipamente i sisteme [PPN07-01].

Elaborarea unui studiu comparativ i a unei caracterizri structurale a tehnologiilor de detecie a intruziunilor i a implementrilor de sisteme IDS. Tehnologiile au fost evaluate n funcie de tehnica sau principiul de detecie utilizat monitorizare fiiere de jurnalizare, monitoare de integritate (fiier sau sistem), anomalii, semnturi, hibride, capcan (honeypot), ct i n funcie de resursa monitorizat i amplasare. Implementarea i testarea tehnologiilor de detecie a intruziunilor. Tehnologii reprezentative pentru detecia intruziunilor au fost testate i evaluate pe durata cercetrii pentru a stabili eficacitatea, gradul de interoperabilitate, suportul pentru direcii ulterioare de cercetare (cum ar fi validarea aplicabilitii Teoriei Dezert-Smarandache pentru monitorizare n condiii de incertitudine a datelor prezentat n capitolul 5). Tehnologiile testate au fost Snort, Bro, SEC, OSSEC, Logwatch, Flister, Revealer, Vice, Tripwire, Afick. Sintetizarea i elaborarea unui studiu asupra tehnicilor de urmrire a atacurilor DDoS. O strategie eficient de construirea defensivei mpotriva atacurilor DDoS combin o serie de tehnici pentru a acoperi urmtoarele aspecte: prevenirea, detecia, urmrirea pachetelor fluxurilor sau traficului agregat creat de DDoS i suprimarea atacurilor. Clasele de tehnici de urmrire care au fost studiate includ marcarea pachetelor, controlul cii, i jurnalizarea pachetelor. [PNB09] Elaborarea unui studiu de caz pentru analiza spaiului de ameninri pe baza datelor publice oferite de sistemele de monitorizare global n Internet. Pe baza datelor de trafic observate de sistemele de monitorizare global (CAIDA i DShield/ISC) ncepnd cu data de 28 Noiembrie 2008, se identific apariia unui eveniment major n reea, prezentnd caracteristicile unei propagri epidemice de vierme (numit ulterior Conficker). Datele disponibile pentru urmtoarele luni indic schimbri n comportamentul viermelui pe msur ce apar noi variante care nlocuie sau coexist cu cele anterioare.
164

Capitolul 4: Elaborarea unei arhitecturi generice de monitorizare a securiti, precum i a unui set de consideraii pentru faza de implementare a arhitecturii. O arhitectur generic de monitorizare a securitii, stabilit pe baza modelelor OSSIM, Counterpane i MCI Sentry, are urmtoarele componente: surse de evenimente cu relevan pentru procesul de monitorizare, colectoare de evenimente, baza de date cu mesaje de securitate, module de analiz i aplicaii pentru suportul rspunsului la incidentele de securitate identificate. Se prezint o serie de considerente ce trebuie avute att n faza de proiectare ct i cea de implementare: integrarea componentelor enumerate anterior, n contextul asigurrii integritii, disponibilitii i securitii datelor, i a canalelor de comunicaie ntre componente, precum i ameninrile la adresa arhitecturii [PPN08].

Elaborarea unui studiu asupra tehnicilor de corelaie a datelor n procesul de monitorizare a securitii. Pe msur ce scenariile de atac devin mai complexe, datele de monitorizare oferite de senzori devin obiectul unei analize mai profunde. Tehnicile sunt n general grupate n dou categorii: abordri fr cunotine, care se regsesc n cele mai multe implementri curente (console de monitorizare, sau instrumente de analiz a fiierelor jurnal), i cea de-a doua categorie reprezentat de tehnicile bazate pe cunotine (furnizate de un expert, sau deduse pe baza unor tehnici de nvare). [PPN06-04] Sintetizarea i elaborarea unui studiu aspra riscurilor i ameninrilor la adresa arhitecturii de monitorizare. Pentru a crete gradul de complexitate intruziunilor, atacatorul va cuta s-i menin un grad de anonimat, s evite detecia. n caz c nu reuete, atacatorul va cuta s degradeze sau s stopeze colectarea de evidene, fapt care va complica investigaiile de dup incident. Concluziile indic faptul c majoritatea atacatorilor exploateaz n esen consecinele unui management deficitar i lipsa de experien a administratorilor arhitecturii.

Capitolul 5: Tratarea unor subiecte de noutate n literatura de specialitate din domeniul securitii informaionale: Odat cu creterea complexitii ecosistemului de securitate, procesul de monitorizare va avea la dispoziie mase mari de date i informaii, dar care vor fi caracterizate de un coninut din ce n ce mai ridicat de imperfeciune. Tratarea cazurilor complexe de imperfeciune a datelor pe baza teoriilor tradiionale (cum ar fi teoria clasic a probabilitilor) este inadecvat. n acest sens s-au explorat modele matematice alternative cum ar Teoria DezertSmarandache (TDSm) a raionamentului plauzibil i paradoxist care permite combinarea formal a oricrui fel de informaii: certe, incerte, paradoxale. [NPP11]

Construirea unui model experimental de evaluare a aplicabilitii TDSm n monitorizarea securitii: Una din problemele constante a tehnologiilor de detecie a intruziunilor este generarea de alarme false, care n multe cazuri influeneaz negativ procesul de analiz i decizie. Pentru a verifica aplicabilitatea TDSm n aceast direcie, s-a construit un model experimental n care date de trafic legitim i atac create n regim controlat sunt recepionate de un sistem IDS, care la rndul su genereaz alerte cu prioriti diferite. Pe baza acestor alerte se creeaz evenimente asociate unui spaiu de discernmnt,
165

care ulterior se combin pe baza a diferite reguli de fuziune (Shafer, PCR5, DSmH). Validarea a constant n verificarea concordanei ntre realitate (datele de trafic generate) i rezultatele obinute n urma fuziunii, precum i rapiditatea de detecie a schimbrilor care apar n mediu. [NPP11]

Construirea unui cadru de identificarea imperfeciunii datelor din sfera monitorizrii securitii. Pentru suportul evalurii aplicabilitii TDSm n monitorizarea securitii, s-a construit un cadru de identificare a imperfeciunii datelor din sfera monitorizrii securitii plecnd de la clasificarea imperfeciunii informaiilor realizat de Smet. Pe baza acestui cadru pe vor putea identifica i alte aspecte legate de monitorizarea securitii pentru care se va dori testarea aplicabilitii i eficacitii teoriei DSmT.

Rezultatele cercetrii obinute pe durata pregtirii tezei de doctorat, i prezentate n aceast lucrare, au fost publicate n peste 20 articole, studii sau cri din care: 5 articole cotate i indexate ISI 2 articole indexate IEEE Xplore 1 carte publicat la o editur cotat CNCSIS 1 articol cotat CNCSIS n reviste A, 1 articol cotat CNCSIS n reviste B+, 3 articole cotate CNCSIS n reviste B, 4 articole cotate n reviste C sau asimilate (cu ISSN / ISBN) Lista detaliat a lucrrilor publicate care conin rezultate ale cercetrii proprii desfurate n domeniul monitorizrii este prezentat n seciunea Publicaii personale din capitolul de Bibliografie. De asemenea, rezultate obinute au constituit puncte de referin pentru comunitatea tiinific internaional. Dintre lucrrile altor autori care valorific rezultatele cercetrii pe care am desfurat-o n sfera monitorizrii securitii se amintesc :
Lucrri de Doctorat Sebastian Sowa - Information-Security-Business-Performance-Measurement und -Management im Kontext von Compliance und Unternehmungszielen, PhD Thesis, Ruhr-Universitt Bochum, Germany, 2009; http://www-brs.ub.ruhr-uni-bochum.de/netahtml/HSS/Diss/SowaSebastian/diss.pdf Demetrius M. Kyriazanou - Ensuring Privacy in Personal Networks with Situational Awareness, PhD Thesis, National Technical University, Athens, Greece, 2009; http://artemis.cslab.ntua.gr/Dienst/Repository/2.0/Body/artemis.ntua.ece/PD2009-0056/pdf Lucrri de Master Vilhelm Verendel - Some Problems In Quantified Security, Thesis For The Degree Of Licentiate Of Engineering, Chalmers University Of Technology, Gteborg, Sweden 2010; http://www.cse.chalmers.se/~vive/QuantHypothesis/ Scott E. Schimkowitsch - Key Components of an Information Security Metrics Program Plan, Master of Science, University of Oregon, USA, 2009; https://scholarsbank.uoregon.edu/xmlui/bitstream/handle/1794/9479/Schimkowitsch2009.pdf?sequence=1 Laerte Peotta de Mello - Proposta de Metodologia de Gesto de Risco em Ambientes Corporativos na rea de TI - Master Thesis, Universidate de Brasilia, Brasilia, Brazil, 2008; http://repositorio.bce.unb.br/bitstream/10482/1628/1/2008_LaertePeottaDeMelo.pdf Pranitha Koya - A Framework for Security Assurances of Student Applicant Data in Educational Institutions - Masters of Science In Technology Project Management - Information Systems Security, University of Huston, USA, 2008; http://www.tech.uh.edu/caedc/documents/Pranitha_Koyai_2008%20(4).pdf

166

Articole publicate n jurnale de specialitate sau rapoarte tiinifice de referin T. Sree Ram Kumar, K. Alagarsamy - A Stake Holder Based Model for Software Security Metrics, IJCSI International Journal of Computer Science Issues, Vol. 8, Issue 2, March 2011, ISSN: 16940814; http://www.ijcsi.org/papers/IJCSI-8-2-444-448.pdf Clare E. Nelson - Security Metrics: An Overview, ISSA Journal, 2010; http://www.issa.org/images/upload/files/Nelson-Security%20Metrics-An%20Overview.pdf Catalin Boja, Mihai Doinea - Security Assessment of Web Based Distributed Applications, Informatica Economic vol. 14, no. 1/2010; http://revistaie.ase.ro/content/53/16%20Boja,%20Doinea.pdf US Department of Defence - Information Assurance Technology Analysis Center (IATAC) - State-ofthe-Art Report Measuring Cyber Security and Information Assurance, 2009; https://www.mocana.com/pdfs/iatac-measuring_cyber_security_and_information_assurance.pdf Vilhelm Verendel - Quantified security is a weak hypothesis: a critical survey of results and assumptions, NSPW '09 Proceedings of the 2009 workshop on New security paradigms workshop, ACM New York, NY, USA, 2009 http://dl.acm.org/citation.cfm?id=1719030.1719036&coll=DL&dl=GUIDE&CFID=45924325&CFTOKE N=73201276 Anoop Singhal, Xinming Ou - Techniques for enterprise network security metrics, Proceedings of the 5th Annual Workshop on Cyber Security and Information Intelligence Research Cyber Security and Information Intelligence Challenges and Strategies CSIIRW 09, ACM Press, 2009 http://www.mendeley.com/research/ccd-neural-network-processors-for-pattern-recognition/ Antonietta Stango, Neeli R. Prasad, Dimitris M. Kyriazanos - A Threat Analysis Methodology for Security Evaluation and Enhancement Planning, Emerging Security Information, Systems and Technologies, SECURWARE '09, 2009; http://ieeexplore.ieee.org/xpl/freeabs_all.jsp?reload=true&arnumber=5210987 Meiring De Villiers - Reasonable Foreseeability in Information Security Law: A Forensic Analysis, Hastings Communications and Entertainment Law Journal, Australia, 2008 http://www.law.unsw.edu.au/staff/devilliersm/docs/Reasonable_Foreseeability_In_Information_Secur ity_Law_A_Forensic_Analysis.pdf Gordon Housworth - Structured IT risk remediation: Integrating security metrics and Design Basis Threat to overcome scenario spinning and fear mongering, ICG, 2007 http://spaces.icgpartners.com/index2.asp?page=4&category=6E687EFC376F4D04AD504AB754372 2E6

167

Motto: Totul se transform, nimic nu se pierde! - Ovidius

CAPITOLUL 7

CONCLUZII FINALE I ABORDRI VIITOARE

Elaborarea tezei de doctorat a reprezentat rodul unei cercetri desfurate pe durata a peste 10 ani n domeniul securitii informatice, avnd ca scop integrarea multiplelor tehnologii din sfera securitii, dezvoltarea de procese i modele de securitate care s permit un rspuns adecvat la schimbrile din plan tehnologic i organizaional, identificarea limitrilor existente n sistemele i procesele de securitate, i evaluarea oportunitilor oferite de noi cercetri pentru a mbunti tehnologiile i procesele utilizate n asigurarea securitii operaionale a organizaiilor. Internet-ul reprezint cel mai amplu proiect creat vreodat de civilizaia uman, societatea modern informaional reprezentnd deja o realitate. nceput ca un proiect de cercetare n urm cu patru decenii, Internet-ul devine pe zi ce trece o oglind ct mai fidel a societii umane, multe din relaiile sociale, economice, politice, culturale transpunndu-se pe aceast infrastructur informaional [PPBC98]. n aceste circumstane, securitatea informaional a devenit una din componentele majore i vitale pentru buna operare ale Internet-ului. Securitatea este un proces dinamic care trebuie s rspund eficient noilor vulnerabiliti, ameninri, precum i schimbrilor constante care au loc n mediul de operare. O abordare de succes va combina elemente de natur tehnologic, procesual i uman, prin utilizarea unui proces structurat ce integreaz securitatea informaiei i activitatea de management a riscurilor n ciclul de via al dezvoltrii sistemelor. Progresul realizat n zona securizrii tehnologiilor i infrastructurii Internetului a avut ca rezultat o repoziionare a strategiilor utilizate de elementele spaiului de ameninare. Migrarea a tot mai multor aplicaii pe web, inclusiv a celor disponibile pe telefoanele inteligente, precum i disponibilitatea a tot mai multor informaii despre utilizatori pe site-urile de socializare, a creat noi oportuniti pentru atacatori, majoritatea vectorilor de atac folosii n prezent viznd vulnerabiliti n aceste zone. n condiiile actuale, riscurile datorate vulnerabilitilor de securitate aparin n principal utilizatorilor, ele fiind un element auxiliar pentru cei ce le produc (furnizorii de hardware software, sau servicii IT). n mod uzual, odat ce o vulnerabilitate este identificat, productorul ofer mai repede sau mai trziu un remediu, ns utilizatorul tehnologiei suport toate costurile urmrilor unui atac. Acest model nu ofer motivaie pentru productori n investiia de resurse pentru a securiza tehnologia nc din fazele de

168

proiectare, strategia productorilor fiind n principal orientat spre funcionalitatea vizibil, care asigur vnzarea produsului sau soluiei. n acest context, este de ateptat ca prezena unui numr mare, i n continu cretere de productori pe piaa aplicaiilor, s determine un numr ridicat de vulnerabiliti, i implicit de riscuri pentru utilizatori i organizaii. Mai mult, schimbrile din mediul organizaiei sau cel social pot genera noi riscuri. Spre exemplu, noua lege n domeniul sntii din SUA promoveaz ca modalitate de reducere a costurilor, utilizarea nregistrrilor medicale n format digital, i efectuarea de tranzacii digitale ntre furnizorii de servicii medicale (doctori, farmacii, laboratoare, case de asigurri, angajatori, departamentele de sntate public ale statului). Aceast schimbare va constitui o oportunitate pentru atacatori, avnd n vedere numrul mare de elemente ale acestui ecosistem, precum i faptul c multe oficii medicale nu au experien n zona securitii, sau utilizrii ntr-un context securizat a tehnologiilor. O soluie de adresare a acestor riscuri permanente ntr-o manier proactiv, i chiar anticipativ o reprezint monitorizarea securitii. Monitorizarea securitii reprezint procesul care permite identificarea schimbrilor din spaiul vulnerabilitilor i ameninrilor, precum i meninerea unei vizibiliti continue asupra eficacitii politicii i controalelor de securitate implementate. Dei conceptul de monitorizare a securitii a fost lansat de ceva vreme, iar unele companii ofer soluii ce monitorizeaz unele componente precum intruziuni, vulnerabiliti, conformitate cu anumite reglementri, existena unor abordri de monitorizare unitare i globale a ntreg spectrului de informaii cu relevan de securitate este nc n faze incipiente. Lucrarea de fa abordeaz n premier aspectele complexe din sfera monitorizrii securitii, oferind o perspectiv unitar i global asupra procesului, tehnologiilor, modului de implementare. Aceasta poate fi un ghid util pentru organizaii n nelegerea problematicii complexe de securitate actual, precum i n elaborarea unui program de monitorizare i implementarea acestuia. Conform simbolisticii taoiste Yin-Yang [Wik11], legate de mpletirea inevitabil a dualitii existente n toate lucrurile din natur, este de anticipat c monitorizarea securitii nu reprezint soluia perfect n adresarea problemelor de securitate ale organizaiei, aducnd pe lng beneficiile discutate i unele riscuri cum ar fi cel de acces neautorizat, sau de utilizare abuziv a datelor de monitorizare. Organizaia va trebui s adreseze aceste riscuri prin msuri tehnologice i procedurale care s asigure: securitatea datelor de monitorizare colectate, controlul i monitorizarea accesului la aceste date, anonimizarea acestora cnd sunt utilizate pentru cercetare sau partajate cu alte organizaii, verificarea regulat a personalului care are acces la date, disciplin n execuia procesului. n final, se prezint n sintez, problematica abordat n cadrul tezei: motivaia i definirea alegerii temei, precum i a direciilor de cercetare tiinific; studiul vulnerabilitilor n spaiul virtual definirea unui cadru pentru detecia intruziunilor i a procesului de monitorizare asociat acestuia. studiul atacurilor asupra infrastructurii Internet-ului schematizarea atacurilor tipice pe baz de mesaje de pot analiza comparativ a tehnicilor de scanare utilizate n propagarea viermilor

169

elaborarea unui cadru pentru definirea de metrici de securitate. prezentarea cadrului pentru partajarea informaiilor de intruziune la nivel global. definirea unui model de monitorizare complet a securitii. evaluarea tehnologiilor de culegere a datelor utilizate n procesul de monitorizare a securitii. studiu comparativ asupra tehnologiilor de detecie a intruziunilor i a implementrilor de sisteme IDS. abordri n monitorizarea spaiului de ameninri pe baza datelor publice oferite de sistemele de monitorizare global n Internet. prezentarea unei arhitecturi generice de monitorizare a securiti studiu asupra tehnicilor de corelaie a datelor n procesul de monitorizare a securitii. studiu asupra eforturilor de standardizare n vederea asigurrii interoperabilitii elementelor arhitecturii. construirea unui cadru de identificare a imperfeciunii datelor din sfera monitorizrii securitii. studiul unor noi modele matematice pentru eficientizarea monitorizrii securitii, i construirea unui model experimental de evaluare a aplicabilitii TDSm n monitorizarea securitii contribuii personale i rezultate tiinifice obinute n cadrul elaborrii tezei.

Contribuiile personale i rezultatele obinute ofer satisfacia necesar i creeaz premisele pentru continuarea i dezvoltarea activitii n aceast direcie, n special pentru optimizarea tehnologiilor i proceselor de monitorizare a securitii. Astfel, n cadrul unor proiecte de cercetare tiinific se afl n diferite faze de studiu i de cercetare urmtoarele teme: evaluarea riscurilor la adresa securitii i libertilor utilizatorilor ca urmare a tendinei de concentrare masiv a datelor personale, sau care permit determinarea de caracteristici personale (cutri pe Internet, activiti n reele sociale, nregistrri ale tranzaciilor financiare, medicale, etc.) studiul caracteristicilor specifice de monitorizare a securitii n medii de calcul virtuale (cloud computing) evaluarea extinderii procesului de monitorizare pentru a adresa probleme specifice scurgerilor accidentale sau sustragerilor de date studiul eficacitii utilizrii TDSm n combinarea datelor de alert a intruziunilor provenind din mai multe surse eterogene (HIDS, NIDS) construirea de metrici pentru un program de prevenire a pierderilor de date Rezultatele acestor cercetri vor fi comunicate n jurnale, sau conferine de specialitate, iar contribuiile personale i rezultatele tiinifice obinute, ct i cele viitoare, vor face subiectul unei cri referitoare la monitorizarea securitii n Internet. Teza a tratat problematica monitorizrii securitii reelelor i sistemelor conectate la Internet pe baza studierii unei bibliografii bogate, prin efectuarea de experimente practice, analize de date i prin obinerea de contribuii personale i de rezultate tiinifice n domeniul securitii informatice, domeniu de importan capital pentru asigurarea bunei funcionri a unei infrastructuri de baz a societii umane - Internetul.

170

BIBLIOGRAFIE

Publicaii Personale
[NPP11] Sebastian Nicolescu, Victor-Valeriu Patriciu, Iustin Priescu - Using DSm Theory to Address Conflicts and Uncertainty in Security Monitoring Process, International Journal of Information Security, ISSN 1615-5270 (trimis spre publicare) (Revist indexat ISI). Iustin Priescu, Rodica Neagu, Sebastian Nicolescu - Research Results of a Network Security Perimeter for Romanian E-Commerce Companies - UTM Megabyte Magazine, Vol 6, No. 2, pp. 2010, Bucharest, Romania, ISSN: 1841-7361 (revist cotat B) Iustin Priescu, Magdalena Negruiu, Marilena Ciobanau, Sebastian Nicolescu Perspectives on Financial Data Security in Offshoring Environments, Proceedings of 2009, International Conference on Economics, Business Management and Marketing, Singapore, pp. 117-122, ISBN 978-9-8108-3816-4. (Articol indexat ISI, MSES) Iustin Priescu, Victor Valeriu Patriciu, Sebastian Nicolescu - The Viewpoint Of ECommerce Security In The Digital Economy, International Conference on Future Computer and Communication, ICFCC 2009, Kuala Lumpur, Malaysia, IEEE Computer Society, pp. 431-433, ISBN 978-0-7695-3591-3, ISSN 1089-7789. (Articol indexat ISI, IEEE) Iustin Priescu, Sebastian Nicolescu, Ion Bica - Design Of Traceback Methods For Tracking DOS Attacks, International Association of Computer Science and Information Technology - Spring Conference, 2009. IACSITSC '09., Singapore, IEEE Computer Society, pp. 117-121, ISBN 978-0-7695-3653-8, ISSN 1089-7789. (Articol indexat ISI, IEEE) Ion Bica, Iustin Priescu, Sebastian Nicolescu Managing Enterprise Information Security with ISO/IEC 2700x Standards Family, The Ninth International Conference on Informatics in Economy Education, Research and Business Technology, Academy of Economic Studies and Romanian Association for Infromatics in Economy Training Promotion (INFOREC), pag. 923-931, ISBN 978-606-505-172-2, Bucharest, 2009 Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Security Monitoring of Company Networks, MTA Review , Vol. XVIII, No. 1, pp. 43-50, ISSN 1843-3391 Cod CNCSIS 842 (Revist cotat B), 2008

[PNN10]

[PNCN09]

[PPN09]

[PNB09]

[BPN09]

[PPN08]

Priescu Iustin, Sebastian Nicolescu - Managing Security Monitoring in Enterprise Networks, Buletinul Universitatii Petrol-Gaze din Ploiesti, Seria Matematica-InformaticaFizica, Vol. LX, No. 2/2008, pag. 53-58, ISSN 1224-4899, Ploiesti, Cod CNCSIS 37 (Revist cotat B), 2008 [PPIN08-01] Iustin Priescu, Victor-Valeriu Patriciu, Rzvan Ionescu, Sebastian Nicolescu - Current Perspectives On Information Security Management Systems, The 7th International Conference Communications 2008, Edition IEEE Communications International Conference, Organized by The Military Technical Academy, "Politehnica" University of Bucharest, Electronica 2000 Foundation, and The IEEE Romanian Section, Romania, ISBN 973-718-479-3, 2008 [PN08] [PPIN08-02] Iustin Priescu, Victor-Valeriu Patriciu, Rzvan Ionescu, Sebastian Nicolescu - Define Effectiveness Measurement Of Controls In Information Security Management Systems, The 7th International Conference Communications 2008, Edition IEEE Communications International Conference, Organized by The Military Technical Academy, "Politehnica" University of Bucharest, Electronica 2000 Foundation, and The IEEE Romanian Section, Romania, ISBN 973-718-479-3, 2008

171

[PPN07-01] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - The Current Perspectives On Security Monitoring In Enterprise Networks, 8th International Conference on Informatics in Economy (ICIE 2007), May 17-18, 2007, Bucharest [PN06] Iustin Priescu, Sebastian Nicolescu - Tendine actuale n criminalitatea informatic, Conferina Naional a Specialitilor n Domeniul Prevenirii i Combaterii Criminalitii Informatice, Piteti, 27-29 Noiembrie 2006

[PPN06-01] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - The Outlook Of ECommerce Security In The Digital Economy, The 2006 International Conference On Commerce, ASE, March 27-29, 2006, Bucharest [PPN06-02] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Securitatea Potei Electronice n Internet, Editura Academiei Tehnice Militare, Bucuresti, 2006, ISBN 973640-043-3 (Carte publicat n editutr recunoscut CNCSIS - cod 158) [PPN06-03] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Operational Security Metrics for Large Networks, International Journal Of Computers, Communications & Control, vol1, pp 349-354, ISSN 1841-9836, E-ISSN 1841-9844, 2006. Revist cotat A, Cod CNCSIS 849. (Articol indexat ISI) [PPN06-04] Iustin Priescu, Victor-Valeriu Patriciu, Sebastian Nicolescu - Data Correlation Techniques in Network Security Monitoring, 5th RoEduNet International Conference, June 1-3, 2006, Sibiu, Romania, ISBN 978-973-739-277-0 [PPN06-05] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Security Metrics for Enterprise Information Systems, JAQM (Journal of Applied Quantitative Methods), Issue 2, 2006, pp. 151-159, ISSN 1842-4562, Cod CNCSIS 700 (Revist cotat B+) [PPN05-01] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Internet Worms Propagation Modeling and Analysis, The 4th ROEDUNET International Conference: "Education/Training and Information/Communication Technologies - ROEDUNET '05, Trgu-Mure, Romania, pp. 218-224, ISBN 973-7794-26-5 (Articol indexat ISI) [PPN05-02] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Trace Back Flows Methods for Tracking DoS Attacks - The 15th International Conference on Control Systems and Computer Science, May 25-27, 2005, Bucharest Romania. [PPN05-03] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Internet Worms Spreading of Active Worms using Random Scanning Conferina de Matematici Aplicate i Industriale CAIM 2005, Societatea Romn de Matematic Aplicat i Industrial - ROMAI, ROMAI Journal, Vol. 1, Nr. 1, pag. 141-150, ISSN 1841-5512, EISSN 2065-7714, (Revist cotat B), 2005 [PPN04] Victor-Valeriu Patriciu, Iustin Priescu, Sebastian Nicolescu - Security Considerations about E-Mail Encryption Protocols, International Conference on Computers and Communications (ICCC), May 27-29 2004, Oradea, Romania, pp. 315-319

172

Bibliografie general
[Aco09] [Afi--] [Alk08] [Ame10] Byron Acohido - The evolution of an extraordinary globe-spanning worm http://lastwatchdog.com/evolution-conficker-globe-spanning-worm/ Afick (Another File Integrity Checker) - http://afick.sourceforge.net/ Ghazi I. Alkhatib, David C. Rine - IGI Global, 2008 Suhair Hafez Amer, John A. Hamilton - Intrusion Detection Systems (IDS) Taxonomy A Short Review, Jurnal of Software Technology, Vol 13, No 2, 2010. http://journal.thedacs.com/issue/54/163 James P. Anderson Co - Computer Security Threat Monitoring and Surveillance, Technical Report. 1980 D Anderson, T Frivold, A Valdes - Next-generation intrusion-detection expert system (NIDES). Technical Report. Computer Science Laboratory, SRI, USA, May 1995 ATLAS Summary Report Global Attacks - http://atlas.arbor.net/summary/attacks Argus Project - An Architecture for Cooperating Intrusion Detection and Mitigation Applications, http://www.htc.honeywell.com/projects/argus/ Jacob Babbin et al - Security Log Management: Identifying Patterns in the Chaos, Syngress Publishing, 2006 Michael Bailey, Evan Cooke, Farnam Jahanian, Yunjing Xu, Manish Karir - A Survey of Botnet Technology and Defenses, Proceeding CATCH '09 Proceedings of the 2009 Cybersecurity Applications & Technology Conference for Homeland Security Basel Committee on Banking Supervision, Working Paper on the Regulatory Treatment of Operational Risk Bank for International Settlements, Basel Committee, 2001 (http://www.bis.org/publ/bcbs_wp8.pdf) R. Bejtlich - The Tao Of Network Security Monitoring: Beyond Intrusion Detection, Addison-Wesley, 2004, ISBN 0321246772 S. Berinato, G. Campbell, D. Lefler, Security Metrics - Influencing Senior Management, CSO Executive Council 2005 Bothunter Implementation - http://www.bothunter.net/ Darren Bounds - Packit - Network Injection and Capture http://packit.sourceforge.net/ B. P. Brown - Offshore Financial Services Handbook, Second Edition, Gresman Books, 1999 http://en.wikipedia.org/wiki/BS_7799 Axel Buecker, Hendrik H. Fulda, Dieter Riexinger, Deployment Guide Series: IBM Tivoli Security Compliance Manager, IBM Redbooks, 2005 Bugtraq SecurityFocus, www.securityfocus.com/ James Butler - VICE - Catch the hookers!, Black Hat, Las Vegas, July 2004. www.blackhat.com/presentations/bh-usa-04/bh-us-04-butler/bh-us-04-butler.pdf Jamie Butler, Greg Hoglund - Rootkits - Subverting the Windows Kernel, Addison Wesley Professional, 2005. ISBN 0321294319 Conficker/Conflicker/Downadup as seen from the UCSD Network Telescope http://www.caida.org/research/security/ms08-067/conficker.xml US Homeland Security Department - CERT Cyber Security Bulletins - http://www.uscert.gov/cas/bulletins/ Common Criteria: Part 1 - Introduction and general model, Version 2.1 1999, http://www.radium.ncsc.mil/tpep/library/ccitse/ccitse.html

[And80] [And95] [Arb11-02] [Arg--] [Bab06] [Bai09]

[Bas01]

[Bej04] [Ber05] [Bot11] [Bou01] [Bro99] [BS02] [Bue05] [Bug--] [But04] [But05] [Cai08] [CBU--] [CCIMB99-031]

173

[CER--] [Cert11] [Che03] [Chk--] [CIDF98-2]

CERT Advisories- http://www.cert.org CERT, CERT/CC Statistics 1988-2011, CERT, 2011 (http://www.cert.org/stats/) Z. Chen, L. Gao, K. Kwiat -Modeling the spread of active worms, IEEE INFOCOM. 2003 Chkrootkit - http://www.chkrootkit.org/ R. Feiertag, C. Kahn, P. Porras, D. Schnackenberg, S. Staniford-Chen, B. Tung - A Common Intrusion Specification Language (CISL) 16/10/98 http://www.isi.edu/gost/cidf/drafts/language.txt C. Kahn, D. Bolinger, D. Schnackenberg - Communication in the Common Intrusion Detection Framework, v0.7, 8/98 http://www.isi.edu/gost/cidf/drafts/communication.txt B. Tung - CIDF APIs: Their Care and Feeding http://www.isi.edu/gost/cidf/drafts/api.txt C. Kahn, D. Bolinger, D. Schnackenberg - The Common Intrusion Detection Framework Architecture http://www.isi.edu/gost/cidf/drafts/architecture.txt Cisco - Cisco Security Information Event Management Deployment Guide http://www.cisco.com/en/US/solutions/collateral/ns340/ns414/ns742/ns982/sbaSIEM_d eployG.pdf Rodney Claude - Investigative Tree Models, SANS White paper, http://www.sans.org/reading_room/whitepapers/incident/investigative-treemodels_33183 Bryce Cogswell, Mark Russinovich RootkitRevealer, http://technet.microsoft.com/enus/sysinternals/bb897445 Fred Cohen - The Use of Deception Techniques: Honeypots and Decoys, Handbook of Information Security, Vol 3, 2005 Converged Network Digest http://www.convergedigest.com/packetsystems/packetsysarticle.asp?ID=26912 Counterpane - Counterpane and Network Security Monitoring, http://bt.counterpane.com/presentation2.pdf Counterpane - Managed Security Monitoring, http://www.counterpane.com/msm.pdf Frdric Cuppens, Alexandre Mige - Alert correlation in a cooperative intrusion detection framework, Proceedings of the IEEE Symposium of Security and Privacy, 2002 MITRE Corporation, Common Vulnerabilities and Exposures, http://cve.mitre.org/ MONITOR LOGS WITH LOGSURFER+ http://www.dankalia.com/tutor/01005/0100501074.htm H. Debar, M. Becker, D. Siboni - A neural network component for an intrusion detection system. Proceedings of the 1992 IEEE Computer Sociecty Symposium on Research in Security and Privacy D. Denning - An Intrusion-Detection Model - IEEE Transactions on Software Engineering. 1987 John B. Dickson - Black Box versus White Box:Different App Testing Strategies, Denim Group White Paper, http://www.denimgroup.com/media/pdfs/BBvsWB_Minneapolis.pdf Pascal Djiknavorian, P. Valin, D. Grenier - Approximation in DSm theory for fusing ESM reports, Information Fusion (FUSION), 13th Conference, 2010
DoD Information Assurance Technology Analysis Center (IATAC) Measuring Cyber

[CIDF98-3]

[CIDF98-4] [CIDF98-5]

[Cis11]

[Cla09]

[Cog06] [Coh05] [Con09] [Cou02] [Cou05] [Cup02]

[CVE--] [Dan--] [Deb92]

[Den87] [Dic08]

[Dji10] [DoD09]

174

Security and Information Assurance, State-of-the-Art Report (SOAR), May 8, 2009 https://www.mocana.com/pdfs/iatacmeasuring_cyber_security_and_information_assurance.pdf [DOE--] [Dou93] [Dow90] [Du03] US Department of Energy CIRC - Cyber Incident Response http://www.doecirc.energy.gov/ C. Dousson, P. Gaborit, M. Ghallab - Situation recognition: Representation and Algorithms. Proceedings of the 13th IJCAI, pp 166-172, August 1993 C. Dowel, Paul Ramstedt - The computer watch data reduction tool. Proceedings of the 13th National Computer Security Conference, 1990 X. Du, M. Shayman, R.A. Skoog - Using Neural networks in distributed Management to identify Control and Management to identify Control and management plane poison messages. University of Maryland, US. Research supported by DARPA, 2003 D. Dubois, H. Prade - On the unicity of Dempster rule of combination, International Journal of Intelligent Systems, Vol 1, pp 133-142, 1986 N. Duffield, M. Grossglauser - Trajectory Sampling for Direct Traffic Observation. Proceedings of the Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication (ACM SIGCOMM00). Stockholm, Sweden, pp 271282. 2000 (http://portal.acm.org/citation.cfm?id=347555) Retina CS Management Products - http://www.eeye.com/products/retina/retina-insight Constantine Elster, Danny Raz - Covering All Bases with a Short Blanket: A Dynamic Monitoring Resource Allocation Scheme, INFOCOM Workshops 2008, IEEE J. Fan, K. Su - An Efficient Algorithm for Matching Multiple Patterns. ACM Magazine, 1993 S.Chen, S.Cheung, R.Crawford - GrIDS: A graph based intrusion detection system for large networks. Proceedings of the 19th National Information Systems Security Conference, 1996 Lista publicatii FIPS - http://csrc.nist.gov/publications/PubsFIPS.html *** - Fingerprint Sharing Alliance, http://www.arbornetworks.com/fingerprint-sharingalliance.html F-Secure - Net-Worm:W32/Santy.A, http://www.f-secure.com/v-descs/santy_a.shtml F-Secure - Net-Worm:W32/Sasser, http://www.f-secure.com/v-descs/sasser.shtml Abdoul Karim Ganame, Julien Bourgeois, Renaud Bidou, Francois Spies - A global security architecture for intrusion detection on computer networks Computers & Security 27 (2008) pp 3047 Gartner Security Study Reports - http://www.gartner.com R.M. Goodman, H. Latin - Automated knowledge acquisition from network management databases, IFIP International Symposium on Integrated Network Management (ISINM91), pp 541-549, 1991 Tim Greene - The RSA Hack FAQ, Network World, http://www.networkworld.com/news/2011/031811-rsa-hack-faq.html John Green, David Marchette, Stephen Northcutt, Bill Ralph - Analysis Techniques for Detecting Coordinated Attacks and Probes, Proceedings of the Workshop on Intrusion Detection and Network Monitoring Santa Clara, California, USA, 1999 Guofei Gu, Phillip Porras, Vinod Yegneswaran, Martin Fong, Wenke Lee - BotHunter: Detecting Malware Infection Through IDS-Driven Dialog, USENIX Security'07, 2007 Hansman, S., Hunt R., A taxonomy of network and computer attacks, Computer and Security (2005)
Mike Harwood - CompTIA Network+ Exam Cram, Third Edition, Pearson

[Dub86] [Duf00]

[Eey--] [Els08] [Fan93] [FCCC+96]

[FIPS*] [FSA11] [Fse04-1] [Fse04-2] [Gan08]

[Gar--] [Goo91]

[Gre11] [Gre99]

[Gu07] [Han05] [Har09]

175

Certification, 2009 [Ht04] Antti Htl, Camillo Srs, Ronja Addams-Moring, Teemupekka Virtanen - Event Data Exchange and Intrusion Alert Correlation in Heterogeneous Networks, Proceedings of the 8th Colloquium for Information Systems Security Education West Point, NY, June 2004, pp 84-92 T. Heberlein, G. Dias, K. Levitt - A network security monitor. Proceedings of the 1990 IEEE Symposium on Research in Security and Privacy G. Hinson - 7 Myths About Security Metrics, ISSA Journal, 2006 J. Hochberg, K. Jackson, C.Stallings - NADIR: An automated system for detecting network intrusion and misuse. Computers & Security, 12(3), 1993 Hping2 Tool - http://www.hping.org/download.php B. Feinstein, G. Matthews, J. White - The Intrusion Detection Exchange Protocol (IDXP). 2002 The TUNNEL Profile for Blocks Extensible Exchange Protocol (BEEP) H. Debar, D. Curry, B. Feinstein - Intrusion Detection Message Exchange Format K. Ilgun, R. Kemmerer, P. Porras - State transition analysis: A rule-based intrusion detection approach. IEEE Transactions on Software Engineering, March 1995 T. Inagaki - Interdependence between safety-control policy and multiple-sensor schemes via Dempster-Shafer theory, IEEE Trans. on reliability, Vol 40, no 2, pp 182188, 1991 InnerWorkings - Offshoring Risks - How Will You Stay in Control? www.cio.com , 2009 J. Ioannidis, S. Bellovin - Implementing Pushback: Router Defence Against DDoS Attacks. Proceedings of Network and Distributed System Security Symposium, San Diego 2002. http://www.isoc.org/isoc/conferences/ndss/02/proceedings/papers/ioanni.pdf Internet Strom Center http://isc.sans.org http://www.17799central.com/ ISO/IEC. Information Technology Security Techniques, Code of Practice for Information Security Management (final draft), ISO, 2005 K. Jackson, D. DuBois, C. Stallings - An expert system application for network intrusion detection. Proceedings of the 14th National Computer Security Conference, 1991 Andrew Jaquith, Security Metrics: Replacing Fear, Uncertainty and Doubt, Addison Wesley, 2006 Robert Johnson; Mark Merkow - Security Policies and Implementation Issues, Jones & Bartlett Learning, 2010 Y. Frank Jou, F. Gong, C. Sargor - Architecture design of a scalable intrusion detection system for the emerging network infrastructure. 1997 Mitch Kabay - The Risks Digest, volume 19, issue 91 (http://catless.ncl.ac.uk/Risks/19.91.html) Georgia Killcrece, Klaus-Peter Kossakowski, Robin Ruefle, Mark Zajicek Organizational Models for Computer Security Incident Response Teams (CSIRTs), Handbook - December 2003 Gene H. Kim, Eugene H. Spafford - The design and implementation of tripwire: a file system integrity checker, CCS '94 Proceedings of the 2nd ACM Conference on Computer and Communications Security ACM New York, NY, USA, 1994
M.Kjaerland - A taxonomy and comparison of compute securityincidents from the

[HEB90] [Hin06] [HOC93] [Hpi--] [IDWG0202] [IDWG03] [IDWG05] [Ilg95] [Ina91]

[Inn09] [Ioa02]

[ISC--] [ISO--] [ISO05] [Jac91]

[Jaq06] [Jon10] [Jou97] [Kab98] [Kil03]

[Kim94]

[Kja05]

176

commercial and government sectors. Computers and Security, 25:522538, October 2005 [Ko96] Calvin Ko - Execution Monitoring of Security-critical Programs in a Distributed System: A Speciffication-based Approach. PhD thesis, Department of Computer Science, University of California at Davis, USA, 1996 Gerald L. Kovacich, Edward Halibozek, Security Metrics Management: How to Measure the Costs and Benefits of Security, Butterworth-Heinemann, 2005 C. Krgel, T. Toth, C. Kerer - Decentralized Event Correlation for Intrusion Detection, Proceedings of the 4th International Conference on Information Security and Cryptology, 2001 Sandeep Kumar - Classification and Detection of Computer Intrusions, PhD thesis, Purdue University, West Lafayette, Indiana, August 1995 Ulf Larson - Aspects of Adapting Data Collection to Intrusion Detection, Thesis For The Degree Of Licentiate Of Engineering, Chalmers University Of Technology, Sweden, 2006 Wenke Lee - A Data Mining Framework For Building Intrusion Detection Models. IEEE Symposium on Security and Privacy, May 1999 E. Lefevre, O. Colot, P. Vannoorenberghe - Belief functions combination and conflict management, Information Fusion Journal, Elsevier Publisher, Vol 3, No 2, pp 149-162, 2002 Jarred Adam Ligatti - Policy Enforcement via Program Monitoring, PhD Thesis, Princeton University, 2006 Logwatch - http://sourceforge.net/projects/logwatch/ Daniel Lough - A Taxonomy of Computer Attacks with Applications to Wireless Networks, PhD thesis, Virginia Polytechnic Institute and State University, 2001 T. Lunt, R. Jagannathan, R. Lee - IDES: The enhanced prototype, A real-time intrusion detection system. Technical Report, SRI Project 4185-010, 1988 T. Lunt, A. Tamaru, F. Gilham - A real-time intrusion-detection expert system (IDES). Technical Report Project 6784 - SRI International, 1992 R. Mahajan, S. Bellovin, S. Floyd, J. Ioannidis, V. Paxson, S. Shenker - Controlling High Bandwidth Aggregates in the Network. ACM SIGCOMM Computer Communication Review, Vol 32, Issue 3, July 2002. ACM Press, New York Kevin Mandia, Chris Prosise - Incident Response and Computer Forensics, 2nd ed. McGrawHill, 2003 Data Fusion Toolbox - http://bfas.iutlan.univ-rennes1.fr/wiki/index.php/Toolboxs Mathworks: Matlab. http://www.mathworks.com/products/matlab/ A. Matrosov, et al - Stuxnet Under the Microscope http://www.eset.com/resources/white-papers/Stuxnet_Under_the_Microscope.pdf Sjouke Mauw, Martijn Oostdijk - Foundations of Attack Trees, in Proc. ICISC, 2005, pp.186-198. ACM Nils McCarthy - Network Path Enumeration. http://www.mainnerve.com/lft/ Chris McNab - Network Security Assessment, Second Edition, O'Reilly Media, 2007 Metasploit Framework Penetration Testing Software - http://metasploit.com/ Microsoft Patterns & Practices Team - Microsoft Application Architecture Guide, Microsoft Press, 2009 Attacking DDoS at the Source Jelena Mirkovic, Gregory Prier, Peter Reiher Technical Report, UCLA, 2002

[Kov05] [Kr01]

[Kum95] [Lar06]

[Lee99] [Lef02]

[Lig06] [Log--] [Lou01] [Lun88] [Lun92] [Mah02]

[Man03] [Mar11] [Mat--] [Mat11] [Mau05] [Mcc01] [McN07] [Met--] [Mic09] [Mir02]

177

[Mir04] [Moo02-1]

Jelena Mirkovic; Sven Dietrich; David Dittrich; Peter Reiher - Internet Denial of Service: Attack and Defense Mechanisms, Prentice Hall, 2004 D. Moore, C. Shannon, J. Brown - Code-Red: a case study on the spread and victims of an Internet Worm In Proc. ACM/USENIX Internet Measurement Workshop, France, November, 2002 D. Moore - Network Telescopes: Observing Small or Distant Security Events. In 11th USENIX Security Symposium, 2002 D. Moore, V. Paxson, S. Savage, C. Shannon, S. Staniford, N. Weaver - Inside the Slammer Worm. IEEE Magazine on Security and Privacy, 1(4):33-39, July 2003 D. Moore, C. Shannon, G. Voelker, S. Savage - Network Telescopes: Technical Report. Cooperative Association for Internet Data Analysis CAIDA Technical Reports, 2004. (http://www.caida.org/outreach/papers/2004/tr-2004-04/tr-2004-04.pdf) B. Morin, H. Debar, L. Me, M. Ducasse - A Formal Data Model for IDS Alert Correlation. Proceedings of the 5th Intl Symposium on Recent Advances in Intrusion Detection (RAID02), October 2002 C. Morrow - Blackhole Routing with ICMP Backscatter. In UUNet Technical Whitepaper, 2002 Y. Moreno, R. Pastor-Satorras, A. Vespignani - Epidemic outbreaks in complex heterogeneous networks, The European Physical Journal B, 26/2002, pp 521-529 Microsoft - http://technet.microsoft.com/en-us/security/bulletin/ms11-057 Andreas Muller - Event Correlation Engine, Master Thesis, Switzerland, 2009 Nasscom BPO Newsline - The Indian BPO Sector Dealing with the Challenges, January 2008 Gonzalo Navarro, Mathieu Raffinot - Practical on-line search algorithms for texts and biological sequences. Cambridge University Press, 2002 J. Nazario - Defense and Detection Strategies against Internet Worms, Artech House, 2003 Jose Nazario - Estonian DDoS Attacks A summary to date http://asert.arbornetworks.com/2007/05/estonian-ddos-attacks-a-summary-to-date/ J Nazario, et al. - Future of Internet Worms http://www.crimelabs.net/docs/worms/worm.pdf Nessus Scanner Documentation http://www.tenable.com/products/nessus/documentation John V. Nguyen - Designing ISP Architectures, Prentice Hall, 2002 Agent Technologies and Web Engineering: Applications and Systems Peng Ning, Yun Cui, Douglas S. Reeves - Analysing Intensive Intrusion Alerts via Correlation. Proceedings of Recent Advances in Intrusion Detection, 2002 Peng Ning, Yun Cui, D. Reeves - Constructing attack scenarios through correlation of intrusion alerts. Proceedings of the 9th ACM conference on Computer and Communications security, 2002 P. Ning, D. Xu, C. G. Healey, R. St. Amant - Building Attack Scenarios through Integration of Complementary Alert Correlation Methods. Proceedings of the 11th Annual Network and Distributed System Security Symposium (NDSSS04). February 2004 Lista publicatii NIST SP - http://csrc.nist.gov/publications/PubsSPs.html Nmap Network Scanning - http://nmap.org/book/toc.html Stephen Northcutt, Judy Novak - Network Intrusion Detection, Third Edition, Sams, 2002

[Moo02-2] [Moo03] [Moo04]

[Mor02]

[Mor02-1] [Mor02-2] [MS11-1] [Mul09] [Nass08] [Nav02] [Naz03] [Naz07-2] [Naz07] [Nes--] [Ngu02] [Nin02-01] [Nin02-02]

[Nin04]

[NIST*] [Nma--] [Nor02]

178

[Oik06]

George Oikonomou, Peter Reiher, Max Robinson, Jelena Mirkovic: A Framework for Collaborative DDoS Defense, Proceedings of the Annual Computer Security Applications Conference (2006) Angela Orebaugh, Becky Pinkard - Nmap in the Enterprise Your Guide to Network Scanning, Syngress, 2008 Rodolphe Ortalo - A Flexible Method for Information System Security Policy Specification - Proceedings of the 5th European Symposium on Research in Computer Security Springer-Verlag London, UK 1998, ISBN:3-540-65004-0 OSSEC - http://www.ossec.net/ OSSIM The Open Source SIEM, http://alienvault.com/community/technicaldocumentation OSSTMM - Open Source Security Testing Methodology Manual http://www.isecom.org/osstmm/ Xinming Ou, Sudhakar Govindavajhala, Andrew Appel - Network Security Management with High-level Security Policies, Technical Report, Princeton University, 2004 Open Web Application Security Project https://www.owasp.org/index.php/Top_10_2010-Main Ben Parr - WikiLeaks Targeted in DDoS Attack as Latest Leak Hits the Web, http://mashable.com/2010/11/28/wikileaks-ddos-attack/ V. Paxson - Bro: a system for detecting network intruders in real-time. Computer Networks No 31, 1999 Cyrus Peikari; Anton Chuvakin - Security Warrior, O'Reilly Media, 2004 S. Persson - Managing Information Security with ISO/IEC 27001, 2005, atsec, www.atsec.com, 2007 Charles P. Pfleeger, Shari Lawrence Pfleeger Analyzing Computer Security: A Threat/Vulnerability/Countermeasure Approach Prentice Hall, 2011 Roberto Pietro, Luigi V Mancini - Intrusion Detection Systems, Series: Advances in Information Security, Vol 38, 2008 P.A. Porras, M.W. Fong, A. Valdes - A Mission-Impact-based Approach to INFOSEC Alarm Correlation. Supported by DARPA, SRI International Paper, 2002 Phillip Porras, Hassen Saidi, Vinod Yegneswaran - An Analysis of Conficker's Logic and Rendezvous Points, http://mtc.sri.com/Conficker/ P. Porras, A. Valdes - Live traffic analysis of TCP/IP gateways. Proceedings of the 1998 ISOC Symposium on Network and Distributed Systems Security I. Priescu - Electronic Commerce: From Paradigme to Implementation, Editura UTM, Bucharest, 2008. ISBN 978-606-8002-20-7 PwC - Financial services falling behind on data security, www.finextra.com, 2009 Xinzhou Qin, Wenke Leem - Statistical Causality of INFOSEC Alert Data. Proceedings of Recent Advances in Intrusion Detection, 2003 Suita documente RFC - http://tools.ietf.org/html/ Risto Vaarandi -Tools and Techniques for Event Log Analysis. PhD Thesis, Tallinn University of Technology, 2005 M. Roesch - Snort - lightweight intrusion detection for networks, 1999. Proceedings of LISA 99. 7-12 November 1999. USENIX http://portal.acm.org/citation.cfm?id=1039864
Joanna Rutkowska - Detecting Windows Server Compromises with Patchfinder 2,

[Ore08] [Ort98]

[Oss--] [OSS05] [Osst--] [Ou04]

[OWA11] [Par10] [Pax99] [Pei04] [Per07] [Pfl11]

[Pie08] [Por02] [Por09] [Por98] [Pri08] [Pwc09] [Qin03] [RFC*] [Ris05] [Roe99]

[Rut04]

179

2004 [Rut05-1] [Rut05-2] Joanna Rutkowska - Thoughts about Cross-View based Rootkit Detection, June 2005. http://www.invisiblethings.org/papers/crossview_detection_thoughts.pdf Joanna Rutkowska - System Virginity Verifier: Defining the Roadmap for Malware Detection on Windows Systems, 2005. http://www.invisiblethings.org/papers/hitb05_virginity_verifier.ppt Daiji Sanai - Detection of Promiscuous Nodes Using ARP Packets. http://www.securityfriday.com/promiscuous_detection_01.pdf H. Schauer, A. Fernandez-Toro - ISO 27001:Interet de la mise en oeuvre dun SMSI, in Jurnees RSSI, Paris 2007 Mike Schiffman, Cisco CIAG, A Complete Guide to the Common Vulnerability Scoring System (CVSS), Forum Incident Response and Security Teams (http://www.first.org/) SEC (simple event correlator) - http://simple-evcorr.sourceforge.net/ SecuriTeam.com Exploits Details *** - Patchfinder 2 - Windows Server Compromises Detector, http://www.securiteam.com/tools/5FP0L00BPS.html *** - Klister - Windows Kernel Level Rootkit Detector, http://www.securiteam.com/tools/5GP0315FFW.html www.secnap.com/support/whitepapers/cyber-report-2010.html G. Shafer - A Mathematical Theory of Evidence, Princeton Univ. Press, Princeton, NJ, 1976 Chris Simmons, Sajjan Shiva, Dipankar Dasgupta, Qishi Wu - AVOIDIT: A Cyber Attack Taxonomy, IEEE Security and Privacy Magazine, 2010 Abhishek Singh - Demystifying Denial-Of-Service Attacks, Part One. http://www.symantec.com/connect/articles/demystifying-denial-service-attacks-partone System Log Analysis and Profiling System 2 http://www.openchannelsoftware.com/projects/SLAPS-2/ F. Smarandache, J. Dezert (Editors) - Applications and Advances of DSmT for Information Fusion, Am. Res. Press, Rehoboth, 2004 http://www.gallup.unm.edu/ smarandache/DSmT-book1.pdf F. Smarandache, J. Dezert (Editors) - Applications and Advances of DSmT for Information Fusion Vol 2, American Research Press, Rehoboth, August 2006. http://www.gallup.unm.edu/ smarandache/DSmT-book2.pdf F. Smarandache, J. Dezert (Editors) - Applications and Advances of DSmT for Information Fusion Vol. 3, American Research Press, Rehoboth, 2009. http://www.gallup.unm.edu/ smarandache/DSmT-book3.pdf S. E. Smaha - Haystack: An intrusion detection system. Proceedings of the IEEE Fourth Aerospace Computer Security Applications Conference, 1988 Ph. Smets, E.H. Mamdani, D. Dubois, H. Prade (Editors) - Non-Standard Logics for Automated Reasoning, Academic Press, 1988 Philippe Smets - Imperfect Information: Imprecision and Uncertainty, In Uncertainty Management in Information Systems, pp 225-254, 1996 Craig Smith, Ashraf Matrawy, Stanley Chow, Bassem Abdelaziz - Computer Worms: Architectures, Evasion Strategies, and Detection Mechanisms, Journal of Information Assurance and Security 4 (2009), pp 69-83 S. Snapp, S. Smaha, D. Teal, T. Grance - The DIDS (Distributed Intrusion Detection System) Prototype. Proceedings of the Summer USENIX Conference, June 1992.

[San01] [Sch07] [Sch09] [Sec07] [SEC--] [Sec04] [Sec05] [Sec11] [Sha76] [Sim10] [Sin10]

[Sla--] [Sma04]

[Sma06]

[Sma09]

[Sma88] [Sme88] [Sme96] [Smi09]

[Sna92]

180

USENIX Association [Sno--] [Sno01] Snort http://www.snort.org A. Snoeren, Craig C. Partridge, L. Sanchez et al - Hash Based IP Traceback. Proceedings of ACM SIGCOMM01, 2001. http://www.acm.org/sigs/sigcomm/sigcomm2001/p1-snoeren.pdf www.facebook.com, www.twitter.com Michael G. Solomon, Mike Chapple, Information Security Illuminated, Jones and Bartlett Publishers, 2005 Dug Song - Packet Fragmentation. http://www.monkey.org/~dugsong/fragroute/ A Guide To The Sarbanes-Oxley Act - http://www.soxlaw.com/ Eugene H. Spafford, Diego Zamboni - Intrusion detection using autonomous agents, Computer Networks No 34, 2000 Systems Security Engineering-Capability Maturity Model Group, SSE-CMM Model Description Document version 3.0, International Systems Security Engineering Association, 2003 (http://www.sse-cmm.org/docs/ssecmmv3final.pdf) S. Staniford, V. Paxson, N. Weaver - How to Own the Internet in your spare time. 11th Usenix Security Symposium, San Francisco, August, 2002 R. Sterritt, A. H. Marshall, C. M. Shapcott, S. I. McClean - Exploring dynamic Bayesian belief networks for intelligent fault management systems. Proceedings of the IEEE International Conference Systems on Cybernetics, pp 3646-3652. Sept 2000 Saint Jude IDS - http://www.filetransit.com/view.php?id=97050 R. Stone - CenterTrack, an IP Overlay Network for Tracking DoS Floods. In USENIX Security Symposium, 2000 (http://www.usenix.org/publications/library/proceedings/sec2000/full_papers/stone/ston e.pdf) Haibin Sun, John C. S. Lui, David K. Y. Yau - Defending Against Low-Rate TCP Attacks: Dynamic Detection and Protection, 12th IEEE International Conference on Network Protocols (ICNP'04), Berlin, Germany, 2008 Simple Log Watcher - http://sourceforge.net/projects/swatch/ Security Bulletins and Reports - http://www.symantec.com Symantec W32.Blaster.Worm, http://www.symantec.com/security_response/writeup.jsp?docid=2003-081113-0229-99 Steven J. Templeton, Karl Levitt - A requires/provides model for computer attacks. Proceedings of New Security Paradigms Workshop, pp 31-38. 2000 Herbert Thompson, Scott Chase - The Software Vulnerability Guide, Course Technology PTR, 2005 Gina C. Tjhai - Anomaly-Based Correlation Of Ids Alarms, PhD Thesis, School of Computing and Mathematics Faculty of Science and Technology, University of Plymouth, UK Open Source Tripwire http://sourceforge.net/projects/tripwire/ *** - Enforcing IT Change Management Policy, Tripwire White Paper http://www.tripwire.com/register/enforcing-it-change-management-policy U.S. Army Intelligence Center & FH - Indicators In OOTW http://www.fas.org/irp/doddir/army/miobc/shts4lbi.htm US Air Force Computer Emergency Response Team - Incident Categories. 1996 Alfonso Valdes, Keith Skinner - Probabilistic alert correlation. Proceedings of Recent Advances in Intrusion Detection, 2001

[SOC09] [Sol05] [Son00] [SOX06] [Spa00] [SSE03]

[Sta02] [Ste00]

[Stj10] [Sto00]

[Sun08]

[Swa--] [Sym--] [Sym03] [Tem00] [Tho05] [Tjh11]

[Tri--] [Tri10] [USA95] [USAF96] [Val01]

181

[Ver10] [Ver11]

Verizon VerIS Verizon Enterprise Risk and Incident Sharing Metrics Framework, https://verisframework.wiki.zoho.com/ Verizon Business - Data Breach Reports for 2008-2011, www.verizonbusiness.com, 2011 http://www.verizonbusiness.com/Products/security/dbir/ James Voorhees - Distilling Data in a SIM: A Strategy for the Analysis of Events in the ArcSight ESM, SANS White Paper Y. Wang, D. Beck, R. Roussev, C. Verbowski - Detecting Stealth Software with Strider GhostBuster. Microsoft Technical Report, Feb 2005 N. Weaver, V. Paxson, S. Staniford, R. Cunningham - A Taxonomy of Computer Worms, ACM Workshop on Rapid Malcode, Washington, DC, Oct 27, 2003 http://en.wikipedia.org/wiki/File:Yin_yang.svg Wireshark Packet Analyzer (v.1.6.2) - http://www.wireshark.org/ Gullik Wold - Title of paper: Key factors in making Information Security Policies Effective, Master Thesis 2005 Brian Wotring, Host Integrity Monitoring Using Osiris and Samhain, Syngress Publishing, 2005 S. Wright - Measuring the Effectiveness of Security using ISO 27001, White Paper, 2006 XYPRO Technology Corporation, HP NonStop Server Security, Digital Press, 2004 R. R. Yager - On the Dempster-Shafer framework and new combination rules, Information Sciences, Vol 41, pp 93-138, 1987 L. Zadeh - A Simple View of The Dempster-Shafer Theory of Evidence and Its Implication For The Rule Of Combination, AI Magazine 7, No2, pp 85-90, 1986 C.C. Zou, L. Gao, W. Gong, D. Towsley - Monitoring and Early Warning for Internet Worms. 10th ACM Symposium on Computer and Communication Security, Washington DC, 2003

[Voo07] [Wan05] [Wea03] [Wik11] [Wir--] [Wol05] [Wot05] [Wri06] [Xyp04] [Yag87] [Zad86] [Zou03]

182