1 / 44

Bedrägerier och intrångsdetektering

Bedrägerier och intrångsdetektering. Emilie Lundin Barse Datorteknik, Chalmers Tekniska Högskola. Introduktion. Telekom-operatörer förlorar uppskattningsvis 3-6% på grund av bedrägerier Svårare att mäta för dataintrång kostnad för stöld av hemlig information?

truman
Download Presentation

Bedrägerier och intrångsdetektering

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bedrägerier och intrångsdetektering Emilie Lundin Barse Datorteknik, Chalmers Tekniska Högskola

  2. Introduktion • Telekom-operatörer förlorar uppskattningsvis 3-6% på grund av bedrägerier • Svårare att mäta för dataintrång • kostnad för stöld av hemlig information? • kostnad för ”nertid” i systemet? • kostnad för dålig publicitet (t.ex. för banker)? • Finns kommersiella intrångsdetekteringssystem (IDS) och bedrägeridetekteringssystem (FDS/FMS) • Inte särskilt effektiva... • Händer intressanta saker inom forskningen

  3. Innehåll • Bedrägerier och intrång • Hur detekteras intrång och bedrägerier? • Kommersiella detekteringssystem • Problem och möjligheter • Lagar, regler och etik • Framtiden

  4. Bedrägerier och intrång

  5. Definition av “fraud” (bedrägeri) • ”En medvetet vilseledande eller oriktig handling som resulterar i otillbörlig förmån/vinst åt sig själv eller någon annan” • Definitionen inkluderar “insiders” • Fraud kan anses vara ett applikationsspecifikt specialfall av intrång • (Vi sysslar med bedrägerier mot tekniska system)

  6. Bedrägerier – historik • John Draper, 1972 • Visslade till sig gratis-samtal med hjälpav en visselpipa (2600 Hz) från ett flingpaket(Blue boxing) • Kevin Poulsen, 1990 • Lurade till sig en Porsche 944 S2 genomatt ta över alla inkommande telefonlinjer tillradiostationen KIIS-FM. (102nd caller) • Fortsatte med att ”vinna”… 1 Porsche till, $22.000, två resor till Hawaii… 5 år i fängelse.

  7. Telekom-bedrägerier – historik • Fraud i fast telefoni (från tidigt 1970-tal) • Clip-on fraud (mycket enkelt och fungerar ännu, kräver dock fysisk access till kablarna vilket begränsar missbruket). • Signalling abuse. Fungerar ej längre (i Sverige). Fungerade tidigare pga att signalering och trafik utnyttjade samma nät. • Payphone fraud. Manipulerade telefonautomater eller telefonkort. • Card fraud. Stulna kreditkortsnummer och PIN används för att ringa via en operatörs växel. • CPE (PBX). Kundväxlar där man kan utnyttja vidarekoppling och möjligheter till extern access. • Premium rate services (PRS). Missbruk av betalsamtal. T.ex. fejkade betaltjänster som man ringer från stulna telefoner/abonnemang.

  8. Telekom-bedrägerier – historik • Fraud i mobil telefoni (1980-tal och 1990-tal) • Eavesdropping. NMT-systemet hade ej kryptering. • Tumbling. Byte av telefonens serienummer medgav fri access till nätet. Bristfällig accesskontroll i de analoga mobiltelefonisystemen. • Cloning. Duplicering och förfalskning av SIM-kort. Gör att någon annan får betala för samtalen. • Subscription fraud. Teckning av abonnemang under falskt namn. • Call selling. En variant av ”subscription fraud” med ett mer storskaligt syfte. • Roaming fraud. Utnyttjande av fördröjningar i kommunikation mellan roaming-partners.

  9. Definition av intrång • En samling handlingar som utförs med avsikten att påverka integritet, sekretess eller tillgänglighet för en datorresurs • inkluderar förutom attacker med lyckat resultat också attackförberedelse och attackförsök

  10. Typer av intrång • Vanliga typer • vanligast är troligtvis ”attacker” som letar efter öppna portar och svagheter • port-scanning: nmap • svaghets-scanning: satan, saint, nessus • buffer overflow, heap overflow, integer overflow och varianter dominerar stort bland attacker som påverkar systemets integritet och sekretess (t.ex. ger administratörs-rättigheter) • attacker mot tillgängligheten (denial-of-service) är vanliga och svåra att skydda sig mot

  11. Klassificering av intrång • Finns ingen klassificering av intrång som är användbar för att avgöra hur de ska detekteras • De som finns visar attackmetod, attackmål eller vilka delar av systemet som påverkas • T.ex. MIT Lincoln Labs klassificering, som användes för DARPAs IDS-testning: • probe • remote-to-local • user-to-root • denial-of-service • data attack • Har visats att dessa klasser inte motsvarar hur väl en detektor kan detektera attackerna (Killourhy et al. 2004) • En viktig uppgift för säkerhetsforskare är att skapa en sådan klassificering

  12. Hur detekteras intrång och bedrägerier?

  13. sensor- konfig. analys- motor sensor respons- enhet sensor sensor logdata- lagring tillstånds- info detekterings- policy åtgärds- policy Komponenter i ett detekteringssystem Målsystem

  14. programbeteende (systemanrop) nätverks-trafik inloggningar användar- kommandon Sensorer för intrångsdetektering • Nätverkstrafik för att detektera ”nätverks”-attacker • Systemanrop för att detektera program som beter sig misstänkt • Användarkommandon för att upptäcka ”masquerading”, dvs användarkonton som tagits över av angripare • Inloggningar för att veta vem som var inne i systemet vid tidpunkten för attacken • Vanligt att dela upp IDSer i nätverks-baserade och ”host”-baserade

  15. telekom- operatör Sensorer för bedrägeridetektering • Samtalsinformation (call records) för att upptäcka misstänkt användarbeteende • Kundinformation för att upptäcka kunder som registrerat sig med falsk identitet (subscription fraud) • Betalningsinformation för att upptäcka höga kostnader eller avvikelser jämfört med andra informationskällor kund-databas samtals- register betalnings-information

  16. Detekteringsmetoder • Klassificering • skilja normala händelser från misstänkta • görs genom att man tar reda på hur normalbeteende eller attackbeteende ser ut • anomalidetektering – utgå från normalbeteende • missbruksdetektering – utgå från attackbeteende • inte alltid möjligt att få perfekt detektering, eftersom normala händelser överlappar med attackbeteende statistisk fördelning för normalbeteende statistisk fördelning för attackbeteende parameter- värde ?

  17. Pr{A} = 0.76 Pr{B} = 0.24 Pr{C} = 0.74 Pr{D|¬A} = 0.27 Pr{D|A} = 0.73 Pr{E|¬A,¬B,x} = 0.01 Pr{E|¬A,B,¬C} = 0.02 Pr{E|¬A,B,C} = 0.04 Pr{E|A,x,x} = 0.03 Pr{F|¬B,x} = 0.00 Pr{F|B,¬C} = 0.01 Pr{F|B,C} = 0.04 Pr{G|¬D,¬E} = 0.03 Pr{G|¬D,E} = 0.72 Pr{G|¬D,E} = 0.84 Pr{G|D,E} = 0.96 Pr{H|¬E} = 0.58 Pr{H|E} = 0.42 Pr{I|¬E,¬F} = 0.02 Pr{I|¬E,F} = 0.98 Pr{I|E,¬F} = 1 Pr{I|E,F} = 1 Detekteringsmetoder A B C Commercial Domestic Low • Regelbaserade/ mönstermatchning • Expertsystem • Tröskelvärden • Statistisk analys • Bayesianska nät • Neurala nät • Markov-modeller • ... User User Income D E F Customer Propensity Bad churn to Fraud Debt G H I Profile ‘Hot’ Revenue Change Destinations Loss

  18. Vad är skillnaden mellan IDS och FDS? • FDS kan ses som ett applikationsspecifikt IDS • FDS måste anpassas till varje unik applikation • Inga ”standardiserade” applikationer finns! • FDS definierar ofta larm-trösklar vilket förenklar detekteringsproblemet • En fördel med FD är att man enkelt kan väga investeringskostnaden mot dess nytta • Ett FDS detekterar konsekvensen av ett intrång eller missbruk • Ett FDS detekterar missbruk av en tjänsts affärslogik

  19. Kommersiella system

  20. Kommersiella system - FDS • Exempel från telekom (rapport från 2000) • Sheriff, British Telecom • Fraud office, Ericsson • Cerebrus, Nortel Networks • Compaq FMS, Compaq • ... (11 system har undersökts) • Indata: • CDR (Call Data Record), CDR signaleringsdata, abonnent-databas, plats • Bedrägerier: • subscription, bad dept, cloning, roaming, clip-on, call sell, prepaid, calling card, ... • 11 bedrägerier har undersökts i rapporten

  21. Kommersiella system – FDS (forts.) • Metoder: • regelbaserad detektering (alla system) • användar-profilering (de flesta system) • AI/”intelligenta metoder” (några system) • ”hot lists” • Detektering • några få har gett uppgift • lyckad detektering: 50%, 90%, 95% • falska larm: 50%, 60%

  22. Kommersiella system - IDS • Exempel (från Doidy 2004): • Snort – open source, nätverksbaserat • Prelude – open source, hybrid • LIDS – open source, hostbaserat • ISS RealSecure – finns både för nätverk och server • CISCO intrusion detection – nätverksbaserat • ... • Indata: • Nätverkstrafik, systemanrop, filsystemsinfo, brandväggsloggar, autentiseringsinfo, ... • Intrång: • det finns inga system som specificerar vilka intrång de klarar och inte klarar?!

  23. Kommersiella system – IDS (forts.) • Metoder: • regelbaserad detektering (alla system) • anomalidetektering (i vissa system som komplement) • Detektering: • Finns inga ”vetenskapliga” testresultat för kommersiella system • svårt att mäta detekteringsresultat och falsklarm, pga problem med att skaffa testdata • Bästa testet av IDSer är gjort av DARPA: • genererade testdata genom simulering av många datorer, användare och attacker • testade forskningsprototyperna de har finansierat • detekteringsresultat på ca 40-100%, mycket sämre för nya och ”smarta” attacker • ca 10 falsklarm per dag (ev. högre på mer realistiska data)

  24. Intrusion prevention systems • Nya ”inne”-grejen • Gartner Group-rapport: ”IDS is dead, long live IPS” • orsakade en del rabalder • Lite oklar terminologi, kan betyda olika saker • Ofta avses IDS med automatisk återkoppling • konfigurera om brandvägg • avbryt TCP-uppkopplingar • stäng ner tjänster • stoppa systemanrop i realtid

  25. Problem och möjligheter med detekteringssystem

  26. De största praktiska problemen • Falska larm • Anpassning • Detekteringsförmåga • Skalbarhet • Brist på mätmetoder

  27. Problem 1 • Falska larm • Många larm • Om detekteringen är 95% korrekt och det finns 0.1% bedrägerier i den analyserade informationen så kommer 99% av alla larm att vara falsklarm! • Avvägning mellan att täcka in alla attacker och mängden falska larm man kan hantera • Tar mycket tid att utreda larm • Ingen skillnad mellan larm från attacker som drabbar aktiva/inaktiva IP-adresser eller känsliga/okänsliga system

  28. Möjligheter 1 • Korrelering av larm • högre trovärdighet till larm som rapporteras av mer än en källa • ”Root cause analysis” • hitta orsaken till grupper av larm • att rapportera orsaken istället för larmen själva reducerar mängden larm kraftigt • (Avhandling, Julisch 2003) • Indata med lägre ”brus”-nivå

  29. Problem 2 • Anpassning • Går inte att köpa ett färdig-anpassat detekteringssystem • Ofta unika tjänster • Användarnas beteende varierar • Kan ta ca två veckor att anpassa ett enkelt nätverksbaserat IDS till ett specifikt system och då får man inaktivera regler som kan vara intressanta

  30. Möjligheter 2 • Automatisk justering av IDS • vilka regler är intressanta för mitt system? • vilka regler ger för mycket falsklarm? • (exjobbare kollar på detta) • Förbered systemet genom att träna det på syntetiska data • färdiganpassat IDS från början • kan träna det för intressanta attacker och situationer som inte tidigare har förekommit • (Barse, Kvarnström och Jonsson, 2003)

  31. Problem 3 • Detekteringsförmåga • Generaliseringsproblem • kommersiella regelbaserade system upptäcker ofta bara en mycket specifik instans av attacken • nya intrång, nya varianter och dolda intrång upptäcks inte • Bättre detektering får inte ske på bekostnad av fler falsklarm

  32. Möjligheter 3 • Nya detekteringsmetoder • Visualisering • Hitta mönster och avvikande beteenden • Använda den mänskliga hjärnansstyrka! • Kombinera metoder • måste avgöra vilka som täcker in olika områden bäst

  33. Möjligheter 3 (forts.) • Kombinera anomali- och missbruks-detekering • använd anomalidetektering kompletterad med regler för att identifiera attackerna • missbruksdetektering kompletterad med anomalidetektering för att avgöra vilka larm som är relevanta • metoder som kan konstruera egna regler baserat på träningsdata där både attacker och normalt beteende finns med (t.ex. RIPPER av Lee et al.) • Bättre kvalité på indata • logdata kan täcka in attacker bättre än vad som görs idag

  34. Problem 4 • Skalbarhet • större bandbredd än 10Mbit/s på nätverket ger problem • antal regler påverkar prestanda kraftigt • problem med att korrelera information från många spridda sensorer

  35. Möjligheter 4 • Distribuera nätverkstrafik till flera sensorer • ”smart” uppdelning krävs • (Kruegel et al. 2002) • Applikations-baserade IDSer • skydda bara viktiga/känsliga resurser i systemet • t.ex. webserver-IDS, mailserver-IDS, ... • Minska mängden indata • filtrera bort ”onödigt” data • vad är onödigt? • nya datakällor

  36. Problem 5 • Mätmetoder • det finns ingen ”innehållsförteckning” på detekteringssystem som talar om vad de klarar och inte klarar • enda seriösa IDS-jämförelsen är DARPAs och den har fått mycket kritik

  37. Möjligheter 5 • Gemensamma testdata • det går inte att jämföra resultat från IDSer som testats på olika data • egenskaper hos data påverkar detekteringsresultaten • Metoder för att generera testdata • syntetiska data (Barse, Kvarnström och Jonsson, 2003) • Metoder för att analysera testdata • finns inte några enkla lösningar ännu

  38. Bättre logdata för detektering • Bättre indata ger • färre falska larm • bättre detektering • mindre skalbarhetsproblem • Bättre täckning av attacker • analysera vilka spår attacker lämnar i logdata och undersök hur användbara spåren är • Filtrera bort onödiga data • hitta kombinationer av data som täcker in attacker och filtrera bort resten • Pågående forskning...

  39. Lagar, regler och etik

  40. Personlig integritet och loggning går inte ihop? • Personuppgiftslagen (1998) • personuppgifter ska endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål • personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in • de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen • personuppgifter får behandlas bara om den registrerade har lämnat sitt samtycke • ... • Säkerhet är viktig för att skydda kundernas personliga integritet • tekniska åtgärder krävs

  41. PUL och företagets intressen • Är IP-adress en personuppgift? • oklart, men EU-kommissionen anser det • en person kan i vissa fall identifieras • Är behandling tillåten? • om företagets intresse tydligt överväger kundens intresse av skydd av den personliga integriteten • upptäcka/förebygga brott skulle kunna berättiga behandling • finns ingen praxis • Krävs samtycke? • inte om företaget har berättigat intresse • oklart om kunderna måste informeras

  42. Forskning • För forskning inom bedrägeri- och intrångsdetektering behövs data • Oklart om man får dela med sig av logdata från datorsystem/tjänster • hur kan man avidentifiera data? • Honeypots • ”lura” angriparen till att begå brott för att kunna övervaka • spridd användning, men oklart om lagligt • håller troligtvis inte i rättegång

  43. Framtiden

  44. Framtiden • IDS blir som antivirusprogram? • Övervakning av datorsystem behövs • vi kan inte betrakta dem som en ”svart låda” • Datorsystemen sprids alltmer och allt viktigare funktioner i samhället datoriseras

More Related