La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli.

PubblicatoLino Pinna Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli."— Transcript della presentazione:

1 Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli Studi di Milano

2 Danilo Bruschi DICO/UNIMI 2 Sommario Definizione di una strategia per lindividuazione e rilevazione di virus polimorfi e metamorfici Definizione di un dispositivo tamper proof per la sorveglianza della rete

3 Danilo Bruschi DICO/UNIMI 3 Polimorfismo e Metamorfismo Forme di malware molto evolute: ogni istanza del malware è differente dalle precedenti questa differenza fa si che non sia possibile identificare un pattern (abbastanza grande) comune a tutte le istanze dello stesso malware estrema difficoltà per gli strumenti tradizionali (antivirus) a rilevare il codice maligno

4 Danilo Bruschi DICO/UNIMI 4 Polimorfismo e Metamorfismo Le trasformazioni più comuni utilizzate dai malware sono: sostituzione di istruzioni inserimento di istruzioni inutili sostituzione delle variabili e dei registri usati alterazione del flusso del programma Ad ogni esecuzione queste trasformazioni sono applicate in modo completamente casuale generando così un nuovo codice maligno fisicamente differente dal precedente ma identico, dal punto di vista del comportamento

5 Danilo Bruschi DICO/UNIMI 5 Come far fronte al problema? Abbiamo individuato un procedimento di riconoscimento per questo tipo di malware composto da due fasi: gli effetti delle trasformazioni vengono annullati convertendo il malware in una forma canonica in cui tutto ciò che non è necessario per la computazione viene rimosso e tutto ciò che può essere fonte di diversità viene eliminato il confronto tra due malware viene effettuato dopo la conversione in forma canonica perché ormai le differenze principali sono state eliminate

6 Danilo Bruschi DICO/UNIMI 6 Il processo di analisi Il malware viene processato e convertito in un formato intermedio di più semplice manipolazione (1 e 2) La conversione in forma canonica viene eseguita attraverso l'utilizzo di alcune tecniche di ottimizzazione (3,4 e 5) Il confronto tra due programmi (malware oppure programmi generici) viene eseguito sulla forma canonica attraverso l'utilizzo di alcune metriche software in grado di misurare la loro similitudine strutturale (6)

7 Danilo Bruschi DICO/UNIMI 7 Risultati sperimentali Il metodo proposto è stato sperimentato su uno dei malware più avanzati La trasformazione in forma canonica ha permesso di annullare gran parte delle modifiche subite durante l'evoluzione Il confronto basato sull'utilizzo delle metriche ha permesso di quantificare la similitudine dei malware prima e dopo la conversione in forma canonica e di valutare la sua reale efficacia

8 Danilo Bruschi DICO/UNIMI 8 Sorveglianza delle reti Lefficacia di un qualunque meccanismo di sorveglianza delle reti è fortemente vincolata alla qualità dei dati che possono essere raccolti La qualità ed efficacia di questi dati (tracce) dipende fortemente da: integrità autenticità legalità

9 Danilo Bruschi DICO/UNIMI 9 Integrità I dati digitali, i log, ecc. sono per loro natura fragili facilissimi da alterare per errore, Le manipolazioni sono spesso difficili da rilevare Soluzioni parziali possono limitare il problema checksum log crittografici e distribuiti pedanteria nella documentazione delle operazioni

10 Danilo Bruschi DICO/UNIMI 10 Autenticità I dati digitali necessitano sempre di un'interpretazione molteplici livelli di astrazione innumerevoli manipolazioni intermedie da parte di hw e sw difficoltà anche solo nell'enumerare ed esporre a scrutinio incrociato la catena d'interpretazione

11 Danilo Bruschi DICO/UNIMI 11 Legalità Le tracce digitali a volte sono l'unica o la fonte principale di colpevolezza. Non è facile raccoglierle rispettando tutte le garanzie necessarie perché possano essere presentate in tribunale le comunicazioni sono tutelate a livello costituzionale nelle reti a pacchetto la quantità di dati è enorme: molte delle informazioni rilevate spesso riguardano soggetti estranei alle indagini vincoli temporali stringenti devono essere rispettati e occorre poterne fornire prova inconfutabile

12 Danilo Bruschi DICO/UNIMI 12 Qualità delle tracce raccolte E` necessario disporre di strumenti adeguati per discernere informazioni importanti nella massa dei dati Anche la semplice cattura è problematica: velocità delle reti crescente complessità dei protocolli topologie irrazionali intreccio di dati rilevanti e legalmente intercettabili, con dati irrilevanti e/o potenzialmente illegali

13 Danilo Bruschi DICO/UNIMI 13 Fiducia nella qualità delle tracce Per far fronte a tutti questi problemi è in fase di progettazione presso I nostri laboratori una piattaforma per la raccolta del traffico di rete altamente innovativa e basata sul concetto di TRUSTED COMPUTING PLATFORM

14 Danilo Bruschi DICO/UNIMI 14 Trusted Computing Platform Arbaugh et al. (1997), ``A secure and reliable bootstrap architecture'' Sono sistemi caratterizzati dalla proprietà di operare secondo la loro specifica iniziale o segnalare immediatamente l'alterazione Varie proposte: TCG (TCPA) è un consorzio multivendor per creare un standard industriale

15 Danilo Bruschi DICO/UNIMI 15 Componenti di una TP Un chip dedicato Un firmware in grado di interagire secondo i protocolli della TP Ogni componente del sistema può essere verificato nella sua integrità a partire dalla fase di boot grazie a tecniche crittografiche

16 Danilo Bruschi DICO/UNIMI 16 TP e attività di sorveglianza L'uso di TP può risolvere ed attenuare molti dei problemi della raccolta dei dati digitali compromissione di router autenticità di log intercettazione controllata

Scaricare ppt "Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli."

Presentazioni simili

Sistemi dinamici discreti e computabilità intrinseca

Sistemi dinamici discreti e computabilità intrinseca
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.
Corso aggiornamento ASUR10

Corso aggiornamento ASUR10
Carlo Di Federico - Matricola n Roberto Gonella - Matricola n

Carlo Di Federico - Matricola n Roberto Gonella - Matricola n
Presupposti alla lezione

Presupposti alla lezione
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.

Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
I futuri scenari della sicurezza informatica Danilo Bruschi Dip. Informatica e Comunicazione Università degli Studi di Milano.

I futuri scenari della sicurezza informatica Danilo Bruschi Dip. Informatica e Comunicazione Università degli Studi di Milano.
IL COMPUTER Il computer, o elaboratore, è un insieme di dispositivi (meccanici, elettrici,ottici) predisposti per accettare dati dallesterno, elaborarli.

IL COMPUTER Il computer, o elaboratore, è un insieme di dispositivi (meccanici, elettrici,ottici) predisposti per accettare dati dallesterno, elaborarli.
La Modifica dei Dati in una Base Dati La modifica dei dati contenuti allinterno di una base dati è unoperazione delicata Infatti, ogni potenziale problema.

La Modifica dei Dati in una Base Dati La modifica dei dati contenuti allinterno di una base dati è unoperazione delicata Infatti, ogni potenziale problema.
Per crittografia si intende la protezione

Per crittografia si intende la protezione
Introduzione all’analisi forense: metodologie e strumenti

Introduzione all’analisi forense: metodologie e strumenti
Reti Logiche e Architettura dei Calcolatori Luciano Gualà home page

Reti Logiche e Architettura dei Calcolatori Luciano Gualà home page
Reti e Sistemi operativi

Reti e Sistemi operativi
Politecnico di Milano Algoritmi e Architetture per la Protezione dellInformazione Multichannel Adaptive Information Systems Paolo Maistri Dipartimento.

Politecnico di Milano Algoritmi e Architetture per la Protezione dellInformazione Multichannel Adaptive Information Systems Paolo Maistri Dipartimento.
MAIS WP5 – Architectures Luca Negri Politecnico di Milano Roma – novembre 05.

MAIS WP5 – Architectures Luca Negri Politecnico di Milano Roma – novembre 05.
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.

IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
FONDAMENTI DI INFORMATICA III A2-1 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO Argomento 2.6 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO.

FONDAMENTI DI INFORMATICA III A2-1 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO Argomento 2.6 CARATTERISTICHE E MODELLIZZAZIONE DEL LAVORO DUFFICIO.
1 2. Analisi degli Algoritmi. 2 Algoritmi e strutture dati - Definizioni Struttura dati: organizzazione sistematica dei dati e del loro accesso Algoritmo:

1 2. Analisi degli Algoritmi. 2 Algoritmi e strutture dati - Definizioni Struttura dati: organizzazione sistematica dei dati e del loro accesso Algoritmo:
Architettura del World Wide Web

Architettura del World Wide Web
Struttura dei sistemi operativi (panoramica)

Struttura dei sistemi operativi (panoramica)

Presentazioni simili

Annunci Google