Tracciamento dinamico dell attività del kernel



Documenti analoghi
Tracciamento di eventi a livello di sistema operativo e applicazioni alla sicurezza

Programma corsi LogX S.r.l.

Software. Algoritmo. Algoritmo INFORMATICA PER LE DISCIPLINE UMANISTICHE 2 (13042)

Il Software e Il Sistema Operativo. Prof. Francesco Accarino IIS Altiero Spinelli A.S. 09/10

Approccio stratificato

Introduzione. Scansione dei servizi di rete. Le porte (1) Internet Protocol. Le porte (2) Port Scanning. Cenni preliminari PortScan Satan Saint

UN PROGRAMMA APPLICATIVO: ACCESS Access è un programma del pacchetto Office che permette di realizzare database

Architettura di un sistema operativo

Esercitazione 05. Sommario. Packet Filtering [ ICMP ] Esercitazione Descrizione generale. Angelo Di Iorio (Paolo Marinelli)

Protezione della propria rete

CVserver. CVserver. Micky Del Favero BLUG - Belluno Linux User Group Linux Day Feltre 25 ottobre Un cluster di VServer

1. BASI DI DATI: GENERALITÀ

J-TraxAccessi+ 1. FUNZIONI J-TraxAccessi Definizione e composizione dei Varchi

Il Dipartimento individua conoscenze, abilità e competenze in uscita nel biennio e nel triennio ripartite come segue:

Sistema di protezione (1)

Sistema di protezione (2) Protezione (1)

PROGRAMMAZIONE MODULARE DI INFORMATICA CLASSE QUINTA - INDIRIZZO MERCURIO SEZIONE TECNICO

Besnate, 24 Ottobre Oltre il Firewall.

Archivi e database. Prof. Michele Batocchi A.S. 2013/2014

Indice. Indice V. Introduzione... XI

ISTITUTO TECNICO ECONOMICO MOSSOTTI

Introduzione. Concetti Preliminari Obiettivi. Portscanning. Scan Detector. Modello TCP/IP Three Way Handshake

Il SOFTWARE DI BASE (o SOFTWARE DI SISTEMA)

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Primo anno di applicazione della riforma e progetti per il secondo anno: aspetti tecnologici

La Macchina Virtuale

Ministero della Pubblica Istruzione Ufficio Scolastico Regionale per la Sicilia Direzione Generale

Applicazione: Servizio periferico per l'invio telematico delle domande di nulla osta al lavoro

Hardware delle reti LAN

19. LA PROGRAMMAZIONE LATO SERVER

Il Sistema Operativo. Di cosa parleremo? Come si esegue un programma. La nozione di processo. Il sistema operativo

Liceo scientifico statale Galileo Galilei Selvazzano Dentro (PD) Anno scolastico Dipartimento di Informatica: Obiettivi Disciplinari

Il calcolatore oggi : UN SISTEMA DI ELABORAZIONE

TIMESHARK: Uno strumento per la visualizzazione e l analisi delle supertimelines. Relatore: Federico Grattirio

Transmission Control Protocol

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

Il computer: primi elementi

Progetto e sviluppo di una Applicazione Android per l accesso a reti di sensori senza filo

Servizio Telematico Paghe

Architetture Informatiche. Dal Mainframe al Personal Computer

Architetture Informatiche. Dal Mainframe al Personal Computer

Confronto tra strumenti e tecniche per il Reverse Engineering in Macromedia Flash e Microsoft Silverlight

Allegato. Servizio Hosting Virtual DataCenter di Regione Lombardia. per l ENTE UCL Asta del Serio

Il documento rappresenta una guida sintetica per descrivere sia la filosofia che il modulo software per l implementazione dei workflow in recuper@2.

Premessa. Page 2. LANDFILL Monitoring

Nuovo Order Manager per il software NobelProcera

VIRTUAL INFRASTRUCTURE DATABASE

Schema della base di dati del Catalogo dei Dati della Pubblica Amministrazione Renzo Orsini

INTERNET e RETI di CALCOLATORI A.A. 2011/2012 Capitolo 4 DHCP Dynamic Host Configuration Protocol Fausto Marcantoni fausto.marcantoni@unicam.

COS È UN LINGUAGGIO? LINGUAGGI DI ALTO LIVELLO LA NOZIONE DI LINGUAGGIO LINGUAGGIO & PROGRAMMA

Prof. Filippo Lanubile

Gestione Documentale. Soluzioni integrate per Banche e Finanziarie

Lo sviluppo del software: usi e clausole commentate Aspetti Tecnici. Prof. Franco Sirovich Dipartimento di Informatica Università di Torino

Siti web centrati sui dati (Data-centric web applications)

con ANTLR tesi di laurea Anno Accademico Relatore Ch.mo prof. Porfirio Tramontana Candidato Fabio Canova Matr

UTILIZZO DEL MODULO DATA ENTRY PER L IMPORTAZIONE DEI DOCUMENTI (CICLO PASSIVO)

Prodotto <ADAM DASHBOARD> Release <1.0> Gennaio 2015

Cenni sulle reti e applicazioni remote ( internet, applicazioni e servizi web )

Laboratorio di Basi di Dati e Web

Corso di Informatica

VMware. Gestione dello shutdown con UPS MetaSystem

KLEIS A.I. SECURITY SUITE

Appunti del corso di Informatica 1 (IN110 Fondamenti) 4 Linguaggi di programmazione

INFORMATICA 1 L. Mezzalira

La ricerca universitaria, uno strumento scientifico al servizio della sicurezza delle reti Luca Spalazzi

Presentazione aziendale

Introduzione alle tecnologie informatiche. Strumenti mentali per il futuro

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

REACH Management System

1. Schema concettuale della base di dati Lo schema concettuale (o statico) è uno dei due schemi del progetto concettuale di un sistema informativo.

Backup e Restore di un database PostgreSQL Sandro Fioravanti INFN-LNF

Elementi di UML (7): Diagrammi dei componenti e di deployment

Programma analitico d'esame. Versione

Obiettivi d esame PHP Developer Fundamentals on MySQL Environment

Le distrubuzioni GNU/Linux

Il sistema informatico di trasmissione e analisi dei dati

INFN Napoli NESSUS. IL Security Scanner. Francesco M. Taurino 1

STARCheck Struttura e funzionamento

Progetto Cluster. Sottoprogetto Bioinformatica

3DEverywhere S.r.l. sito web:

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

SISTEMI OPERATIVI THREAD. Giorgio Giacinto Sistemi Opera=vi

Procedura per elaborare una graduatoria attraverso un sistema di lettura ottica.

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Il software impiegato su un computer si distingue in: Sistema Operativo Compilatori per produrre programmi

Sistemi avanzati di gestione dei Sistemi Informativi

Linguaggio HTML. Reti. Il Linguaggio HTML. Il Linguaggio HTML

SISTEMI E RETI 4(2) 4(2) 4(2) caratteristiche funzionali

Istruzioni di installazione di IBM SPSS Modeler Text Analytics (licenza per sito)

Introduzione al Python

ISTITUTO ISTRUZIONE SUPERIORE "L. EINAUDI" - ALBA (CN) ANNO SCOLASTICO 2014/2015

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

CODICE ASSE: PRIMO ANNO SECONDO ANNO

A che punto siamo in Calabria? A cura di Luigi Labonia luigi.lab@libero.it

SPERIMENTAZIONE DEL SERVIZIO DI SUPPORTO PER LA GESTIONE DEI RICORSI TRIBUTARI IN MATERIA DI FISCALITA LOCALE (ICI/IMU TARES)

KERNEL ROOTKIT ATTACCHI E CONTROMISURE

Presentazione del prodotto

Istruzioni di installazione di IBM SPSS Modeler Server 15per UNIX

FITS UPLOAD. Software di upload automatico file di immagini astronomiche Versione 1.2

UML - Unified Modeling Language

Transcript:

Applicazioni alla sicurezza informatica Dipartimento di Informatica e Scienze dell Informazione 17 ottobre 2009

1 2 3 Sequenze di chiamate di sistema Creazione del database Riconoscimento delle intrusioni

è uno strumento per Linux che consente di analizzare nel dettaglio il comportamento del kernel (dynamic tracing).

è uno strumento per Linux che consente di analizzare nel dettaglio il comportamento del kernel (dynamic tracing). Utilizzabile mediante un apposito linguaggio di scripting

è uno strumento per Linux che consente di analizzare nel dettaglio il comportamento del kernel (dynamic tracing). Utilizzabile mediante un apposito linguaggio di scripting Gli script vengono tradotti in C e quindi compilati per produrre un modulo del kernel

è uno strumento per Linux che consente di analizzare nel dettaglio il comportamento del kernel (dynamic tracing). Utilizzabile mediante un apposito linguaggio di scripting Gli script vengono tradotti in C e quindi compilati per produrre un modulo del kernel Paradigma di programmazione ad eventi

è uno strumento per Linux che consente di analizzare nel dettaglio il comportamento del kernel (dynamic tracing). Utilizzabile mediante un apposito linguaggio di scripting Gli script vengono tradotti in C e quindi compilati per produrre un modulo del kernel Paradigma di programmazione ad eventi Varie librerie di script (chiamate tapset) per analizzare le tipologie di eventi più interessanti

è uno strumento per Linux che consente di analizzare nel dettaglio il comportamento del kernel (dynamic tracing). Utilizzabile mediante un apposito linguaggio di scripting Gli script vengono tradotti in C e quindi compilati per produrre un modulo del kernel Paradigma di programmazione ad eventi Varie librerie di script (chiamate tapset) per analizzare le tipologie di eventi più interessanti Non richiede specifiche conoscenze a livello kernel

è uno strumento per Linux che consente di analizzare nel dettaglio il comportamento del kernel (dynamic tracing). Utilizzabile mediante un apposito linguaggio di scripting Gli script vengono tradotti in C e quindi compilati per produrre un modulo del kernel Paradigma di programmazione ad eventi Varie librerie di script (chiamate tapset) per analizzare le tipologie di eventi più interessanti Non richiede specifiche conoscenze a livello kernel Affidabile, niente disastri in ambienti di produzione

è uno strumento per Linux che consente di analizzare nel dettaglio il comportamento del kernel (dynamic tracing). Utilizzabile mediante un apposito linguaggio di scripting Gli script vengono tradotti in C e quindi compilati per produrre un modulo del kernel Paradigma di programmazione ad eventi Varie librerie di script (chiamate tapset) per analizzare le tipologie di eventi più interessanti Non richiede specifiche conoscenze a livello kernel Affidabile, niente disastri in ambienti di produzione Software libero, sviluppato tra gli altri da Intel, IBM, Hitachi, Red Hat, Oracle

o di script: scansioni FIN, NULL e XMAS probe tcp.receive { name = "" if (fin && psh && urg) name = "XMAS"; if (!psh &&!urg &&!syn &&!rst &&!ack) name = fin? "FIN" : "NULL"; } if (name!= "") printf("\n%s scan detected", name);

Intrusion Detection System Strumenti per rilevare potenziali tentativi di intrusione Possono essere di rete o host based Possono essere basati sull analisi delle anomalie Tra i vari approcci: analisi delle sequenze di chiamate di sistema, Forrest et al. Durante l analisi si confronta il comportamento del sistema con la definizione di normalità Si segnalano i comportamenti anomali Necessitano di una fase iniziale di addestramento

Sequenze di chiamate di sistema Creazione del database Riconoscimento delle intrusioni : sequenze di chiamate di sistema Il sistema sviluppato utilizza un database di sequenze di syscall eseguite dai vari programmi come definizione di normalità. La parte centrale del sistema è uno script che genera la lista delle sequenze eseguite. Per esempio: pulseaudio 1000 gettimeofday sendto send gettimeofday pulseaudio 1000 sendto send gettimeofday poll rhythmbox 1000 poll gettimeofday recvmsg gettimeofday rhythmbox 1000 gettimeofday recvmsg gettimeofday poll rhythmbox 1000 recvmsg gettimeofday poll gettimeofday

Creazione del database Sequenze di chiamate di sistema Creazione del database Riconoscimento delle intrusioni staprun allsequences.ko python builddb.py Loading old data... done Updating database. Stop at any time with CTRL+C ^CDone Creating backup file /var/tmp/ids.db.old... done. Database built into /var/tmp/ids.db Unique syscalls sequences per executable name: gnome- screensaver 771 less 204 gnome-pty-helper 79 [...]

Sequenze di chiamate di sistema Creazione del database Riconoscimento delle intrusioni Riconoscimento delle intrusioni: rootkit ark staprun allsequences. ko python runtime check. py 6 netstat ( rt sigprocmask, fork, r t s i g a c t i o n, r t s i g a c t i o n, rt sigprocmask, wait4 ) 6 netstat ( fork, r t s i g a c t i o n, r t s i g a c t i o n, rt sigprocmask, wait4, r t s i g a c t i o n ) 6 netstat ( r t s i g a c t i o n, r t s i g a c t i o n, rt sigprocmask, wait4, r t s i g a c t i o n, r t s i g a c t i o n ) 6 netstat ( r t s i g a c t i o n, rt sigprocmask, wait4, r t s i g a c t i o n, r t s i g a c t i o n, rt sigprocmask )

Riferimenti Sequenze di chiamate di sistema Creazione del database Riconoscimento delle intrusioni http://www.linux.it/~ema/tesi.pdf http://bitbucket.org/ema/systemtap-ids-poc/overview/

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back