Title: Bedr
1Bedrägerier och intrångsdetektering
- Emilie Lundin Barse
- Datorteknik,
- Chalmers Tekniska Högskola
2Introduktion
- Telekom-operatörer förlorar uppskattningsvis 3-6
på grund av bedrägerier - Svårare att mäta för dataintrång
- kostnad för stöld av hemlig information?
- kostnad för nertid i systemet?
- kostnad för dålig publicitet (t.ex. för banker)?
- Finns kommersiella intrångsdetekteringssystem
(IDS) och bedrägeridetekteringssystem (FDS/FMS) - Inte särskilt effektiva...
- Händer intressanta saker inom forskningen
3Innehåll
- Bedrägerier och intrång
- Hur detekteras intrång och bedrägerier?
- Kommersiella detekteringssystem
- Problem och möjligheter
- Lagar, regler och etik
- Framtiden
4Bedrägerier och intrång
5Definition av fraud (bedrägeri)
- En medvetet vilseledande eller oriktig handling
som resulterar i otillbörlig förmån/vinst åt sig
själv eller någon annan - Definitionen inkluderar insiders
- Fraud kan anses vara ett applikationsspecifikt
specialfall av intrång - (Vi sysslar med bedrägerier mot tekniska system)
6Bedrägerier historik
- John Draper, 1972
- Visslade till sig gratis-samtal med hjälpav en
visselpipa (2600 Hz) från ett flingpaket(Blue
boxing) -
- Kevin Poulsen, 1990
- Lurade till sig en Porsche 944 S2 genomatt ta
över alla inkommande telefonlinjer
tillradiostationen KIIS-FM. (102nd caller) - Fortsatte med att vinna 1 Porsche till,
22.000, två resor till Hawaii 5 år i fängelse.
7Telekom-bedrägerier historik
- Fraud i fast telefoni (från tidigt 1970-tal)
- Clip-on fraud (mycket enkelt och fungerar ännu,
kräver dock fysisk access till kablarna vilket
begränsar missbruket). - Signalling abuse. Fungerar ej längre (i Sverige).
Fungerade tidigare pga att signalering och trafik
utnyttjade samma nät. - Payphone fraud. Manipulerade telefonautomater
eller telefonkort. - Card fraud. Stulna kreditkortsnummer och PIN
används för att ringa via en operatörs växel. - CPE (PBX). Kundväxlar där man kan utnyttja
vidarekoppling och möjligheter till extern
access. - Premium rate services (PRS). Missbruk av
betalsamtal. T.ex. fejkade betaltjänster som man
ringer från stulna telefoner/abonnemang.
8Telekom-bedrägerier historik
- Fraud i mobil telefoni (1980-tal och 1990-tal)
- Eavesdropping. NMT-systemet hade ej kryptering.
- Tumbling. Byte av telefonens serienummer medgav
fri access till nätet. Bristfällig accesskontroll
i de analoga mobiltelefonisystemen. - Cloning. Duplicering och förfalskning av
SIM-kort. Gör att någon annan får betala för
samtalen. - Subscription fraud. Teckning av abonnemang under
falskt namn. - Call selling. En variant av subscription fraud
med ett mer storskaligt syfte. - Roaming fraud. Utnyttjande av fördröjningar i
kommunikation mellan roaming-partners.
9Definition av intrång
- En samling handlingar som utförs med avsikten
att påverka integritet, sekretess eller
tillgänglighet för en datorresurs - inkluderar förutom attacker med lyckat resultat
också attackförberedelse och attackförsök
10Typer av intrång
- Vanliga typer
- vanligast är troligtvis attacker som letar
efter öppna portar och svagheter - port-scanning nmap
- svaghets-scanning satan, saint, nessus
- buffer overflow, heap overflow, integer overflow
och varianter dominerar stort bland attacker som
påverkar systemets integritet och sekretess
(t.ex. ger administratörs-rättigheter) - attacker mot tillgängligheten (denial-of-service)
är vanliga och svåra att skydda sig mot
11Klassificering av intrång
- Finns ingen klassificering av intrång som är
användbar för att avgöra hur de ska detekteras - De som finns visar attackmetod, attackmål eller
vilka delar av systemet som påverkas - T.ex. MIT Lincoln Labs klassificering, som
användes för DARPAs IDS-testning - probe
- remote-to-local
- user-to-root
- denial-of-service
- data attack
- Har visats att dessa klasser inte motsvarar hur
väl en detektor kan detektera attackerna
(Killourhy et al. 2004) - En viktig uppgift för säkerhetsforskare är att
skapa en sådan klassificering
12Hur detekteras intrång och bedrägerier?
13Komponenter i ett detekteringssystem
Målsystem
14Sensorer för intrångsdetektering
- Nätverkstrafik för att detektera
nätverks-attacker - Systemanrop för att detektera program som beter
sig misstänkt - Användarkommandon för att upptäcka
masquerading, dvs användarkonton som tagits
över av angripare - Inloggningar för att veta vem som var inne i
systemet vid tidpunkten för attacken - Vanligt att dela upp IDSer i nätverks-baserade
och host-baserade
15Sensorer för bedrägeridetektering
- Samtalsinformation (call records) för att
upptäcka misstänkt användarbeteende - Kundinformation för att upptäcka kunder som
registrerat sig med falsk identitet (subscription
fraud) - Betalningsinformation för att upptäcka höga
kostnader eller avvikelser jämfört med andra
informationskällor
kund-databas
samtals- register
betalnings-information
16Detekteringsmetoder
- Klassificering
- skilja normala händelser från misstänkta
- görs genom att man tar reda på hur normalbeteende
eller attackbeteende ser ut - anomalidetektering utgå från normalbeteende
- missbruksdetektering utgå från attackbeteende
- inte alltid möjligt att få perfekt detektering,
eftersom normala händelser överlappar med
attackbeteende
statistisk fördelning för normalbeteende
statistisk fördelning för attackbeteende
parameter- värde
?
17Detekteringsmetoder
A
B
Domestic
Commercial
C
Low
- Regelbaserade/ mönstermatchning
- Expertsystem
- Tröskelvärden
- Statistisk analys
- Bayesianska nät
- Neurala nät
- Markov-modeller
- ...
User
User
Income
E
D
F
Customer
Propensity
Bad
churn
to Fraud
Debt
H
I
G
Profile
Hot
Revenue
Change
Destinations
Loss
18Vad är skillnaden mellan IDS och FDS?
- FDS kan ses som ett applikationsspecifikt IDS
- FDS måste anpassas till varje unik applikation
- Inga standardiserade applikationer finns!
- FDS definierar ofta larm-trösklar vilket
förenklar detekteringsproblemet - En fördel med FD är att man enkelt kan väga
investeringskostnaden mot dess nytta - Ett FDS detekterar konsekvensen av ett intrång
eller missbruk - Ett FDS detekterar missbruk av en tjänsts
affärslogik
19Kommersiella system
20Kommersiella system - FDS
- Exempel från telekom (rapport från 2000)
- Sheriff, British Telecom
- Fraud office, Ericsson
- Cerebrus, Nortel Networks
- Compaq FMS, Compaq
- ... (11 system har undersökts)
- Indata
- CDR (Call Data Record), CDR signaleringsdata,
abonnent-databas, plats - Bedrägerier
- subscription, bad dept, cloning, roaming,
clip-on, call sell, prepaid, calling card,
... - 11 bedrägerier har undersökts i rapporten
21Kommersiella system FDS (forts.)
- Metoder
- regelbaserad detektering (alla system)
- användar-profilering (de flesta system)
- AI/intelligenta metoder (några system)
- hot lists
- Detektering
- några få har gett uppgift
- lyckad detektering 50, 90, 95
- falska larm 50, 60
22Kommersiella system - IDS
- Exempel (från Doidy 2004)
- Snort open source, nätverksbaserat
- Prelude open source, hybrid
- LIDS open source, hostbaserat
- ISS RealSecure finns både för nätverk och
server - CISCO intrusion detection nätverksbaserat
- ...
- Indata
- Nätverkstrafik, systemanrop, filsystemsinfo,
brandväggsloggar, autentiseringsinfo, ... - Intrång
- det finns inga system som specificerar vilka
intrång de klarar och inte klarar?!
23Kommersiella system IDS (forts.)
- Metoder
- regelbaserad detektering (alla system)
- anomalidetektering (i vissa system som
komplement) - Detektering
- Finns inga vetenskapliga testresultat för
kommersiella system - svårt att mäta detekteringsresultat och
falsklarm, pga problem med att skaffa testdata - Bästa testet av IDSer är gjort av DARPA
- genererade testdata genom simulering av många
datorer, användare och attacker - testade forskningsprototyperna de har finansierat
- detekteringsresultat på ca 40-100, mycket sämre
för nya och smarta attacker - ca 10 falsklarm per dag (ev. högre på mer
realistiska data)
24Intrusion prevention systems
- Nya inne-grejen
- Gartner Group-rapport IDS is dead, long live
IPS - orsakade en del rabalder
- Lite oklar terminologi, kan betyda olika saker
- Ofta avses IDS med automatisk återkoppling
- konfigurera om brandvägg
- avbryt TCP-uppkopplingar
- stäng ner tjänster
- stoppa systemanrop i realtid
25Problem och möjligheter med detekteringssystem
26De största praktiska problemen
- Falska larm
- Anpassning
- Detekteringsförmåga
- Skalbarhet
- Brist på mätmetoder
27Problem 1
- Falska larm
- Många larm
- Om detekteringen är 95 korrekt och det finns
0.1 bedrägerier i den analyserade informationen
så kommer 99 av alla larm att vara falsklarm! - Avvägning mellan att täcka in alla attacker och
mängden falska larm man kan hantera - Tar mycket tid att utreda larm
- Ingen skillnad mellan larm från attacker som
drabbar aktiva/inaktiva IP-adresser eller
känsliga/okänsliga system
28Möjligheter 1
- Korrelering av larm
- högre trovärdighet till larm som rapporteras av
mer än en källa - Root cause analysis
- hitta orsaken till grupper av larm
- att rapportera orsaken istället för larmen själva
reducerar mängden larm kraftigt - (Avhandling, Julisch 2003)
- Indata med lägre brus-nivå
29Problem 2
- Anpassning
- Går inte att köpa ett färdig-anpassat
detekteringssystem - Ofta unika tjänster
- Användarnas beteende varierar
- Kan ta ca två veckor att anpassa ett enkelt
nätverksbaserat IDS till ett specifikt system och
då får man inaktivera regler som kan vara
intressanta
30Möjligheter 2
- Automatisk justering av IDS
- vilka regler är intressanta för mitt system?
- vilka regler ger för mycket falsklarm?
- (exjobbare kollar på detta)
- Förbered systemet genom att träna det på
syntetiska data - färdiganpassat IDS från början
- kan träna det för intressanta attacker och
situationer som inte tidigare har förekommit - (Barse, Kvarnström och Jonsson, 2003)
31Problem 3
- Detekteringsförmåga
- Generaliseringsproblem
- kommersiella regelbaserade system upptäcker ofta
bara en mycket specifik instans av attacken - nya intrång, nya varianter och dolda intrång
upptäcks inte - Bättre detektering får inte ske på bekostnad av
fler falsklarm
32Möjligheter 3
- Nya detekteringsmetoder
- Visualisering
- Hitta mönster och avvikande beteenden
- Använda den mänskliga hjärnansstyrka!
- Kombinera metoder
- måste avgöra vilka som täcker in olika områden
bäst
33Möjligheter 3 (forts.)
- Kombinera anomali- och missbruks-detekering
- använd anomalidetektering kompletterad med regler
för att identifiera attackerna - missbruksdetektering kompletterad med
anomalidetektering för att avgöra vilka larm som
är relevanta - metoder som kan konstruera egna regler baserat på
träningsdata där både attacker och normalt
beteende finns med (t.ex. RIPPER av Lee et al.) - Bättre kvalité på indata
- logdata kan täcka in attacker bättre än vad som
görs idag
34Problem 4
- Skalbarhet
- större bandbredd än 10Mbit/s på nätverket ger
problem - antal regler påverkar prestanda kraftigt
- problem med att korrelera information från många
spridda sensorer
35Möjligheter 4
- Distribuera nätverkstrafik till flera sensorer
- smart uppdelning krävs
- (Kruegel et al. 2002)
- Applikations-baserade IDSer
- skydda bara viktiga/känsliga resurser i systemet
- t.ex. webserver-IDS, mailserver-IDS, ...
- Minska mängden indata
- filtrera bort onödigt data
- vad är onödigt?
- nya datakällor
36Problem 5
- Mätmetoder
- det finns ingen innehållsförteckning på
detekteringssystem som talar om vad de klarar och
inte klarar - enda seriösa IDS-jämförelsen är DARPAs och den
har fått mycket kritik
37Möjligheter 5
- Gemensamma testdata
- det går inte att jämföra resultat från IDSer som
testats på olika data - egenskaper hos data påverkar detekteringsresultate
n - Metoder för att generera testdata
- syntetiska data (Barse, Kvarnström och Jonsson,
2003) - Metoder för att analysera testdata
- finns inte några enkla lösningar ännu
38Bättre logdata för detektering
- Bättre indata ger
- färre falska larm
- bättre detektering
- mindre skalbarhetsproblem
- Bättre täckning av attacker
- analysera vilka spår attacker lämnar i logdata
och undersök hur användbara spåren är - Filtrera bort onödiga data
- hitta kombinationer av data som täcker in
attacker och filtrera bort resten - Pågående forskning...
39Lagar, regler och etik
40Personlig integritet och loggning går inte ihop?
- Personuppgiftslagen (1998)
- personuppgifter ska endast samlas in för
särskilda, uttryckligt angivna och berättigade
ändamål - personuppgifter får inte behandlas för något
ändamål som är oförenligt med det för vilket
uppgifterna samlades in - de personuppgifter som behandlas ska vara
adekvata och relevanta i förhållande till
ändamålen med behandlingen - personuppgifter får behandlas bara om den
registrerade har lämnat sitt samtycke - ...
- Säkerhet är viktig för att skydda kundernas
personliga integritet - tekniska åtgärder krävs
41PUL och företagets intressen
- Är IP-adress en personuppgift?
- oklart, men EU-kommissionen anser det
- en person kan i vissa fall identifieras
- Är behandling tillåten?
- om företagets intresse tydligt överväger kundens
intresse av skydd av den personliga integriteten - upptäcka/förebygga brott skulle kunna berättiga
behandling - finns ingen praxis
- Krävs samtycke?
- inte om företaget har berättigat intresse
- oklart om kunderna måste informeras
42Forskning
- För forskning inom bedrägeri- och
intrångsdetektering behövs data - Oklart om man får dela med sig av logdata från
datorsystem/tjänster - hur kan man avidentifiera data?
- Honeypots
- lura angriparen till att begå brott för att
kunna övervaka - spridd användning, men oklart om lagligt
- håller troligtvis inte i rättegång
43Framtiden
44Framtiden
- IDS blir som antivirusprogram?
- Övervakning av datorsystem behövs
- vi kan inte betrakta dem som en svart låda
- Datorsystemen sprids alltmer och allt viktigare
funktioner i samhället datoriseras