Bedr

1
Bedrägerier och intrångsdetektering

• Emilie Lundin Barse
• Datorteknik,
• Chalmers Tekniska Högskola

2
Introduktion

• Telekom-operatörer förlorar uppskattningsvis 3-6
  på grund av bedrägerier
• Svårare att mäta för dataintrång
• kostnad för stöld av hemlig information?
• kostnad för nertid i systemet?
• kostnad för dålig publicitet (t.ex. för banker)?
• Finns kommersiella intrångsdetekteringssystem
  (IDS) och bedrägeridetekteringssystem (FDS/FMS)
• Inte särskilt effektiva...
• Händer intressanta saker inom forskningen

3
Innehåll

• Bedrägerier och intrång
• Hur detekteras intrång och bedrägerier?
• Kommersiella detekteringssystem
• Problem och möjligheter
• Lagar, regler och etik
• Framtiden

4
Bedrägerier och intrång
5
Definition av fraud (bedrägeri)

• En medvetet vilseledande eller oriktig handling
  som resulterar i otillbörlig förmån/vinst åt sig
  själv eller någon annan
• Definitionen inkluderar insiders
• Fraud kan anses vara ett applikationsspecifikt
  specialfall av intrång
• (Vi sysslar med bedrägerier mot tekniska system)

6
Bedrägerier historik

• John Draper, 1972
• Visslade till sig gratis-samtal med hjälpav en
  visselpipa (2600 Hz) från ett flingpaket(Blue
  boxing)
• Kevin Poulsen, 1990
• Lurade till sig en Porsche 944 S2 genomatt ta
  över alla inkommande telefonlinjer
  tillradiostationen KIIS-FM. (102nd caller)
• Fortsatte med att vinna 1 Porsche till,
  22.000, två resor till Hawaii 5 år i fängelse.

7
Telekom-bedrägerier historik

• Fraud i fast telefoni (från tidigt 1970-tal)
• Clip-on fraud (mycket enkelt och fungerar ännu,
  kräver dock fysisk access till kablarna vilket
  begränsar missbruket).
• Signalling abuse. Fungerar ej längre (i Sverige).
  Fungerade tidigare pga att signalering och trafik
  utnyttjade samma nät.
• Payphone fraud. Manipulerade telefonautomater
  eller telefonkort.
• Card fraud. Stulna kreditkortsnummer och PIN
  används för att ringa via en operatörs växel.
• CPE (PBX). Kundväxlar där man kan utnyttja
  vidarekoppling och möjligheter till extern
  access.
• Premium rate services (PRS). Missbruk av
  betalsamtal. T.ex. fejkade betaltjänster som man
  ringer från stulna telefoner/abonnemang.

8
Telekom-bedrägerier historik

• Fraud i mobil telefoni (1980-tal och 1990-tal)
• Eavesdropping. NMT-systemet hade ej kryptering.
• Tumbling. Byte av telefonens serienummer medgav
  fri access till nätet. Bristfällig accesskontroll
  i de analoga mobiltelefonisystemen.
• Cloning. Duplicering och förfalskning av
  SIM-kort. Gör att någon annan får betala för
  samtalen.
• Subscription fraud. Teckning av abonnemang under
  falskt namn.
• Call selling. En variant av subscription fraud
  med ett mer storskaligt syfte.
• Roaming fraud. Utnyttjande av fördröjningar i
  kommunikation mellan roaming-partners.

9
Definition av intrång

• En samling handlingar som utförs med avsikten
  att påverka integritet, sekretess eller
  tillgänglighet för en datorresurs
• inkluderar förutom attacker med lyckat resultat
  också attackförberedelse och attackförsök

10
Typer av intrång

• Vanliga typer
• vanligast är troligtvis attacker som letar
  efter öppna portar och svagheter
• port-scanning nmap
• svaghets-scanning satan, saint, nessus
• buffer overflow, heap overflow, integer overflow
  och varianter dominerar stort bland attacker som
  påverkar systemets integritet och sekretess
  (t.ex. ger administratörs-rättigheter)
• attacker mot tillgängligheten (denial-of-service)
  är vanliga och svåra att skydda sig mot

11
Klassificering av intrång

• Finns ingen klassificering av intrång som är
  användbar för att avgöra hur de ska detekteras
• De som finns visar attackmetod, attackmål eller
  vilka delar av systemet som påverkas
• T.ex. MIT Lincoln Labs klassificering, som
  användes för DARPAs IDS-testning
• probe
• remote-to-local
• user-to-root
• denial-of-service
• data attack
• Har visats att dessa klasser inte motsvarar hur
  väl en detektor kan detektera attackerna
  (Killourhy et al. 2004)
• En viktig uppgift för säkerhetsforskare är att
  skapa en sådan klassificering

12
Hur detekteras intrång och bedrägerier?
13
Komponenter i ett detekteringssystem
Målsystem
14
Sensorer för intrångsdetektering

• Nätverkstrafik för att detektera
  nätverks-attacker
• Systemanrop för att detektera program som beter
  sig misstänkt
• Användarkommandon för att upptäcka
  masquerading, dvs användarkonton som tagits
  över av angripare
• Inloggningar för att veta vem som var inne i
  systemet vid tidpunkten för attacken
• Vanligt att dela upp IDSer i nätverks-baserade
  och host-baserade

15
Sensorer för bedrägeridetektering

• Samtalsinformation (call records) för att
  upptäcka misstänkt användarbeteende
• Kundinformation för att upptäcka kunder som
  registrerat sig med falsk identitet (subscription
  fraud)
• Betalningsinformation för att upptäcka höga
  kostnader eller avvikelser jämfört med andra
  informationskällor

kund-databas
samtals- register
betalnings-information
16
Detekteringsmetoder

• Klassificering
• skilja normala händelser från misstänkta
• görs genom att man tar reda på hur normalbeteende
  eller attackbeteende ser ut
• anomalidetektering utgå från normalbeteende
• missbruksdetektering utgå från attackbeteende
• inte alltid möjligt att få perfekt detektering,
  eftersom normala händelser överlappar med
  attackbeteende

statistisk fördelning för normalbeteende
statistisk fördelning för attackbeteende
parameter- värde
?
17
Detekteringsmetoder
A
B
Domestic
Commercial
C
Low

• Regelbaserade/ mönstermatchning
• Expertsystem
• Tröskelvärden
• Statistisk analys
• Bayesianska nät
• Neurala nät
• Markov-modeller
• ...

User
User
Income
E
D
F
Customer
Propensity
Bad
churn
to Fraud
Debt
H
I
G
Profile
Hot
Revenue
Change
Destinations
Loss
18
Vad är skillnaden mellan IDS och FDS?

• FDS kan ses som ett applikationsspecifikt IDS
• FDS måste anpassas till varje unik applikation
• Inga standardiserade applikationer finns!
• FDS definierar ofta larm-trösklar vilket
  förenklar detekteringsproblemet
• En fördel med FD är att man enkelt kan väga
  investeringskostnaden mot dess nytta
• Ett FDS detekterar konsekvensen av ett intrång
  eller missbruk
• Ett FDS detekterar missbruk av en tjänsts
  affärslogik

19
Kommersiella system
20
Kommersiella system - FDS

• Exempel från telekom (rapport från 2000)
• Sheriff, British Telecom
• Fraud office, Ericsson
• Cerebrus, Nortel Networks
• Compaq FMS, Compaq
• ... (11 system har undersökts)
• Indata
• CDR (Call Data Record), CDR signaleringsdata,
  abonnent-databas, plats
• Bedrägerier
• subscription, bad dept, cloning, roaming,
  clip-on, call sell, prepaid, calling card,
  ...
• 11 bedrägerier har undersökts i rapporten

21
Kommersiella system FDS (forts.)

• Metoder
• regelbaserad detektering (alla system)
• användar-profilering (de flesta system)
• AI/intelligenta metoder (några system)
• hot lists
• Detektering
• några få har gett uppgift
• lyckad detektering 50, 90, 95
• falska larm 50, 60

22
Kommersiella system - IDS

• Exempel (från Doidy 2004)
• Snort open source, nätverksbaserat
• Prelude open source, hybrid
• LIDS open source, hostbaserat
• ISS RealSecure finns både för nätverk och
  server
• CISCO intrusion detection nätverksbaserat
• ...
• Indata
• Nätverkstrafik, systemanrop, filsystemsinfo,
  brandväggsloggar, autentiseringsinfo, ...
• Intrång
• det finns inga system som specificerar vilka
  intrång de klarar och inte klarar?!

23
Kommersiella system IDS (forts.)

• Metoder
• regelbaserad detektering (alla system)
• anomalidetektering (i vissa system som
  komplement)
• Detektering
• Finns inga vetenskapliga testresultat för
  kommersiella system
• svårt att mäta detekteringsresultat och
  falsklarm, pga problem med att skaffa testdata
• Bästa testet av IDSer är gjort av DARPA
• genererade testdata genom simulering av många
  datorer, användare och attacker
• testade forskningsprototyperna de har finansierat
• detekteringsresultat på ca 40-100, mycket sämre
  för nya och smarta attacker
• ca 10 falsklarm per dag (ev. högre på mer
  realistiska data)

24
Intrusion prevention systems

• Nya inne-grejen
• Gartner Group-rapport IDS is dead, long live
  IPS
• orsakade en del rabalder
• Lite oklar terminologi, kan betyda olika saker
• Ofta avses IDS med automatisk återkoppling
• konfigurera om brandvägg
• avbryt TCP-uppkopplingar
• stäng ner tjänster
• stoppa systemanrop i realtid

25
Problem och möjligheter med detekteringssystem
26
De största praktiska problemen

1. Falska larm
2. Anpassning
3. Detekteringsförmåga
4. Skalbarhet
5. Brist på mätmetoder

27
Problem 1

• Falska larm
• Många larm
• Om detekteringen är 95 korrekt och det finns
  0.1 bedrägerier i den analyserade informationen
  så kommer 99 av alla larm att vara falsklarm!
• Avvägning mellan att täcka in alla attacker och
  mängden falska larm man kan hantera
• Tar mycket tid att utreda larm
• Ingen skillnad mellan larm från attacker som
  drabbar aktiva/inaktiva IP-adresser eller
  känsliga/okänsliga system

28
Möjligheter 1

• Korrelering av larm
• högre trovärdighet till larm som rapporteras av
  mer än en källa
• Root cause analysis
• hitta orsaken till grupper av larm
• att rapportera orsaken istället för larmen själva
  reducerar mängden larm kraftigt
• (Avhandling, Julisch 2003)
• Indata med lägre brus-nivå

29
Problem 2

• Anpassning
• Går inte att köpa ett färdig-anpassat
  detekteringssystem
• Ofta unika tjänster
• Användarnas beteende varierar
• Kan ta ca två veckor att anpassa ett enkelt
  nätverksbaserat IDS till ett specifikt system och
  då får man inaktivera regler som kan vara
  intressanta

30
Möjligheter 2

• Automatisk justering av IDS
• vilka regler är intressanta för mitt system?
• vilka regler ger för mycket falsklarm?
• (exjobbare kollar på detta)
• Förbered systemet genom att träna det på
  syntetiska data
• färdiganpassat IDS från början
• kan träna det för intressanta attacker och
  situationer som inte tidigare har förekommit
• (Barse, Kvarnström och Jonsson, 2003)

31
Problem 3

• Detekteringsförmåga
• Generaliseringsproblem
• kommersiella regelbaserade system upptäcker ofta
  bara en mycket specifik instans av attacken
• nya intrång, nya varianter och dolda intrång
  upptäcks inte
• Bättre detektering får inte ske på bekostnad av
  fler falsklarm

32
Möjligheter 3

• Nya detekteringsmetoder
• Visualisering
• Hitta mönster och avvikande beteenden
• Använda den mänskliga hjärnansstyrka!
• Kombinera metoder
• måste avgöra vilka som täcker in olika områden
  bäst

33
Möjligheter 3 (forts.)

• Kombinera anomali- och missbruks-detekering
• använd anomalidetektering kompletterad med regler
  för att identifiera attackerna
• missbruksdetektering kompletterad med
  anomalidetektering för att avgöra vilka larm som
  är relevanta
• metoder som kan konstruera egna regler baserat på
  träningsdata där både attacker och normalt
  beteende finns med (t.ex. RIPPER av Lee et al.)
• Bättre kvalité på indata
• logdata kan täcka in attacker bättre än vad som
  görs idag

34
Problem 4

• Skalbarhet
• större bandbredd än 10Mbit/s på nätverket ger
  problem
• antal regler påverkar prestanda kraftigt
• problem med att korrelera information från många
  spridda sensorer

35
Möjligheter 4

• Distribuera nätverkstrafik till flera sensorer
• smart uppdelning krävs
• (Kruegel et al. 2002)
• Applikations-baserade IDSer
• skydda bara viktiga/känsliga resurser i systemet
• t.ex. webserver-IDS, mailserver-IDS, ...
• Minska mängden indata
• filtrera bort onödigt data
• vad är onödigt?
• nya datakällor

36
Problem 5

• Mätmetoder
• det finns ingen innehållsförteckning på
  detekteringssystem som talar om vad de klarar och
  inte klarar
• enda seriösa IDS-jämförelsen är DARPAs och den
  har fått mycket kritik

37
Möjligheter 5

• Gemensamma testdata
• det går inte att jämföra resultat från IDSer som
  testats på olika data
• egenskaper hos data påverkar detekteringsresultate
  n
• Metoder för att generera testdata
• syntetiska data (Barse, Kvarnström och Jonsson,
  2003)
• Metoder för att analysera testdata
• finns inte några enkla lösningar ännu

38
Bättre logdata för detektering

• Bättre indata ger
• färre falska larm
• bättre detektering
• mindre skalbarhetsproblem
• Bättre täckning av attacker
• analysera vilka spår attacker lämnar i logdata
  och undersök hur användbara spåren är
• Filtrera bort onödiga data
• hitta kombinationer av data som täcker in
  attacker och filtrera bort resten
• Pågående forskning...

39
Lagar, regler och etik
40
Personlig integritet och loggning går inte ihop?

• Personuppgiftslagen (1998)
• personuppgifter ska endast samlas in för
  särskilda, uttryckligt angivna och berättigade
  ändamål
• personuppgifter får inte behandlas för något
  ändamål som är oförenligt med det för vilket
  uppgifterna samlades in
• de personuppgifter som behandlas ska vara
  adekvata och relevanta i förhållande till
  ändamålen med behandlingen
• personuppgifter får behandlas bara om den
  registrerade har lämnat sitt samtycke
• ...
• Säkerhet är viktig för att skydda kundernas
  personliga integritet
• tekniska åtgärder krävs

41
PUL och företagets intressen

• Är IP-adress en personuppgift?
• oklart, men EU-kommissionen anser det
• en person kan i vissa fall identifieras
• Är behandling tillåten?
• om företagets intresse tydligt överväger kundens
  intresse av skydd av den personliga integriteten
• upptäcka/förebygga brott skulle kunna berättiga
  behandling
• finns ingen praxis
• Krävs samtycke?
• inte om företaget har berättigat intresse
• oklart om kunderna måste informeras

42
Forskning

• För forskning inom bedrägeri- och
  intrångsdetektering behövs data
• Oklart om man får dela med sig av logdata från
  datorsystem/tjänster
• hur kan man avidentifiera data?
• Honeypots
• lura angriparen till att begå brott för att
  kunna övervaka
• spridd användning, men oklart om lagligt
• håller troligtvis inte i rättegång

43
Framtiden
44
Framtiden

• IDS blir som antivirusprogram?
• Övervakning av datorsystem behövs
• vi kan inte betrakta dem som en svart låda
• Datorsystemen sprids alltmer och allt viktigare
  funktioner i samhället datoriseras