La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli.

Presentazioni simili


Presentazione sul tema: "Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli."— Transcript della presentazione:

1 Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli Studi di Milano

2 Danilo Bruschi DICO/UNIMI 2 Sommario Definizione di una strategia per lindividuazione e rilevazione di virus polimorfi e metamorfici Definizione di un dispositivo tamper proof per la sorveglianza della rete

3 Danilo Bruschi DICO/UNIMI 3 Polimorfismo e Metamorfismo Forme di malware molto evolute: ogni istanza del malware è differente dalle precedenti questa differenza fa si che non sia possibile identificare un pattern (abbastanza grande) comune a tutte le istanze dello stesso malware estrema difficoltà per gli strumenti tradizionali (antivirus) a rilevare il codice maligno

4 Danilo Bruschi DICO/UNIMI 4 Polimorfismo e Metamorfismo Le trasformazioni più comuni utilizzate dai malware sono: sostituzione di istruzioni inserimento di istruzioni inutili sostituzione delle variabili e dei registri usati alterazione del flusso del programma Ad ogni esecuzione queste trasformazioni sono applicate in modo completamente casuale generando così un nuovo codice maligno fisicamente differente dal precedente ma identico, dal punto di vista del comportamento

5 Danilo Bruschi DICO/UNIMI 5 Come far fronte al problema? Abbiamo individuato un procedimento di riconoscimento per questo tipo di malware composto da due fasi: gli effetti delle trasformazioni vengono annullati convertendo il malware in una forma canonica in cui tutto ciò che non è necessario per la computazione viene rimosso e tutto ciò che può essere fonte di diversità viene eliminato il confronto tra due malware viene effettuato dopo la conversione in forma canonica perché ormai le differenze principali sono state eliminate

6 Danilo Bruschi DICO/UNIMI 6 Il processo di analisi Il malware viene processato e convertito in un formato intermedio di più semplice manipolazione (1 e 2) La conversione in forma canonica viene eseguita attraverso l'utilizzo di alcune tecniche di ottimizzazione (3,4 e 5) Il confronto tra due programmi (malware oppure programmi generici) viene eseguito sulla forma canonica attraverso l'utilizzo di alcune metriche software in grado di misurare la loro similitudine strutturale (6)

7 Danilo Bruschi DICO/UNIMI 7 Risultati sperimentali Il metodo proposto è stato sperimentato su uno dei malware più avanzati La trasformazione in forma canonica ha permesso di annullare gran parte delle modifiche subite durante l'evoluzione Il confronto basato sull'utilizzo delle metriche ha permesso di quantificare la similitudine dei malware prima e dopo la conversione in forma canonica e di valutare la sua reale efficacia

8 Danilo Bruschi DICO/UNIMI 8 Sorveglianza delle reti Lefficacia di un qualunque meccanismo di sorveglianza delle reti è fortemente vincolata alla qualità dei dati che possono essere raccolti La qualità ed efficacia di questi dati (tracce) dipende fortemente da: integrità autenticità legalità

9 Danilo Bruschi DICO/UNIMI 9 Integrità I dati digitali, i log, ecc. sono per loro natura fragili facilissimi da alterare per errore, Le manipolazioni sono spesso difficili da rilevare Soluzioni parziali possono limitare il problema checksum log crittografici e distribuiti pedanteria nella documentazione delle operazioni

10 Danilo Bruschi DICO/UNIMI 10 Autenticità I dati digitali necessitano sempre di un'interpretazione molteplici livelli di astrazione innumerevoli manipolazioni intermedie da parte di hw e sw difficoltà anche solo nell'enumerare ed esporre a scrutinio incrociato la catena d'interpretazione

11 Danilo Bruschi DICO/UNIMI 11 Legalità Le tracce digitali a volte sono l'unica o la fonte principale di colpevolezza. Non è facile raccoglierle rispettando tutte le garanzie necessarie perché possano essere presentate in tribunale le comunicazioni sono tutelate a livello costituzionale nelle reti a pacchetto la quantità di dati è enorme: molte delle informazioni rilevate spesso riguardano soggetti estranei alle indagini vincoli temporali stringenti devono essere rispettati e occorre poterne fornire prova inconfutabile

12 Danilo Bruschi DICO/UNIMI 12 Qualità delle tracce raccolte E` necessario disporre di strumenti adeguati per discernere informazioni importanti nella massa dei dati Anche la semplice cattura è problematica: velocità delle reti crescente complessità dei protocolli topologie irrazionali intreccio di dati rilevanti e legalmente intercettabili, con dati irrilevanti e/o potenzialmente illegali

13 Danilo Bruschi DICO/UNIMI 13 Fiducia nella qualità delle tracce Per far fronte a tutti questi problemi è in fase di progettazione presso I nostri laboratori una piattaforma per la raccolta del traffico di rete altamente innovativa e basata sul concetto di TRUSTED COMPUTING PLATFORM

14 Danilo Bruschi DICO/UNIMI 14 Trusted Computing Platform Arbaugh et al. (1997), ``A secure and reliable bootstrap architecture'' Sono sistemi caratterizzati dalla proprietà di operare secondo la loro specifica iniziale o segnalare immediatamente l'alterazione Varie proposte: TCG (TCPA) è un consorzio multivendor per creare un standard industriale

15 Danilo Bruschi DICO/UNIMI 15 Componenti di una TP Un chip dedicato Un firmware in grado di interagire secondo i protocolli della TP Ogni componente del sistema può essere verificato nella sua integrità a partire dalla fase di boot grazie a tecniche crittografiche

16 Danilo Bruschi DICO/UNIMI 16 TP e attività di sorveglianza L'uso di TP può risolvere ed attenuare molti dei problemi della raccolta dei dati digitali compromissione di router autenticità di log intercettazione controllata


Scaricare ppt "Strategie per la sicurezza degli host e la sorveglianza delle reti Danilo Bruschi Mattia Monga Dipartimento di Informatica e Comunicazione Università degli."

Presentazioni simili


Annunci Google