Sicurezza delle reti. Monga. Fast-flux service network. Risultati sperimentali. L autenticazione. Botnet. Sicurezza delle reti. Monga.



Documenti analoghi
Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Phishing. Sicurezza delle reti.

Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. Sicurezza delle reti.

Sicurezza delle reti 1

Sicurezza delle reti. Monga. Malware underground economy. Fast-flux service network. Risultati sperimentali. L autenticazione in rete.

Sicurezza dei sistemi e delle reti 1

Modulo informatica di base 1 Linea 2. Lezione XIII: Sicurezza informatica. Cos è la sicurezza informatica. C è davvero bisogno di parlarne?

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti.

Sicurezza dei sistemi e delle reti 1. Lezione XVI: L assegnazione automatica di IP. Cosa fa DHCP. Il DHCP. Mattia Monga. a.a.

Sicurezza dei sistemi e delle reti 1. Lezione X: Proxy. Proxy. Proxy. Mattia Monga. a.a. 2014/15

Sicurezza dei sistemi e delle reti 1. Lezione VI: IPsec. IPsec. La suite TCP/IP. Mattia Monga. a.a. 2014/15

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Sicurezza delle reti. Monga. Il livello di trasporto. Problemi di sicurezza intrinseci. Riassunto. Porte. Sicurezza delle reti.

Sicurezza delle reti 1. Lezione IV: Port scanning. Stato di una porta. Port scanning. Mattia Monga. a.a. 2010/11

Modulo informatica di base 1 Linea 2

Informatica per la comunicazione" - lezione 13 -

Daniela Mercuri Associazione Informatici Professionisti

Reti di Telecomunicazione Lezione 7

Sicurezza dei sistemi e delle reti 1

Sicurezza delle reti 1. Lezione XVIII: La protezione del DNS. Separazione di servizi DNS. La protezione del DNS. Mattia Monga. a.a.

Metodi e tecniche per la rilevazione e il contrasto di botnet in reti universitarie

TeamPortal. Servizi integrati con ambienti Gestionali

Didattica dell informatica 1

DNSSEC. a real, working and optimized implementation. Samuele Racca samuele.racca@polito.it. Politecnico di Torino TOP-IX

Symantec Insight e SONAR

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

crazybrain snc Presentazione_VisualFTP.pdf Pag. 1 VisualFTP Presentazione del prodotto Web partner:

Troppe Informazioni = Poca Sicurezza?

SICUREZZA INFORMATICA MINACCE

Sicuramente

ALGEBRA DELLE PROPOSIZIONI

Elementi di Sicurezza e Privatezza Lezione 1 - Introduzione

Avviso n. 85 Anagni, 26 gennaio 2016

- Oggi si sente sempre più spesso parlare di malware e virus. - Cosa sono? - Perché difendersi? - Cosa è lo spam?

La sicurezza nelle comunicazioni Internet

LA GESTIONE DELLE VISITE CLIENTI VIA WEB

Sicurezza delle reti. Monga. Rilevamento delle intrusioni Classificazioni IDS. Misuse detection. Anomaly detection. Falsi allarmi

Man-in-the-middle su reti LAN

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

RETI E SISTEMI INFORMATIVI Domain Name System. Prof. Andrea Borghesan

Documento informatico e firme elettroniche

Manuale d uso Lexun Area Riservata proprietà di logos engineering - Sistema Qualità certificato ISO 9001 Det Norske Veritas Italia

StarShell. Autenticazione. StarShell

Elementi sull uso dei firewall

GESTIONE UTENZE. In questa parte di manuale analizzeremo l organizzazione delle utenze che possono accedere al CRM.

Monitorare la superficie di attacco. Dott. Antonio Capobianco (Founder and CEO Fata Informatica)

La sicurezza informatica. Luca Filippi

Domande e risposte su Avira ProActiv Community

Sicurezza delle reti 1

il trasferimento di file

Antonio Cianfrani. Extended Access Control List (ACL)

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

2.5. L'indirizzo IP identifica il computer di origine, il numero di porta invece identifica il processo di origine.

Una minaccia dovuta all uso dell SNMP su WLAN

Manuale Utente. Gestione Richieste supporto BDAP. Versione 1.0

Approfondimento di Marco Mulas

Sicurezza nei Sistemi Informativi

Allegato A: Regole tecniche per la gestione dell identità.

appunti delle lezioni Architetture client/server: applicazioni client

Software libero e riuso in un sistema di gestione documentale

Managed Security Service

IT Security 3 LA SICUREZZA IN RETE

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Protezione delle informazioni in SMart esolutions

Virus informatici Approfondimenti tecnici per giuristi

Soluzioni per ridurre i costi di stampa e migliorare i processi.

Reti di calcolatori. Reti di calcolatori

NOTIFICAZIONE E PUBBLICITÀ LEGALE DEGLI ATTI NELL AMMINISTRAZIONE PUBBLICA DIGITALE

Software Servizi Web UOGA

YOUTUBE: UN CANALE PER LA PARTECIPAZIONE

TeamPortal. Infrastruttura

Guida alla compilazione on-line delle domande di Dote Scuola A.S per le Famiglie INDICE

LA SICUREZZA INFORMATICA SU INTERNET NOZIONI DI BASE SU INTERNET

Configurazione modalità autenticazione utenti sui firewall D-Link Serie NetDefend (DFL-200, DFL-700, DFL-1100)

In che modo e per quale scopo verranno trattati i miei dati personali?

Contesto: Peer to Peer

Lezione 1 Introduzione

PROFILO FORMATIVO Profilo professionale e percorso formativo

INFORMATICA DISTRIBUITA. lez 4 Livello applicazione

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

Reti di Calcolatori. Corso di Informatica. Reti di Calcolatori. Reti di Calcolatori. Corso di Laurea in Conservazione e Restauro dei Beni Culturali

Reti di Calcolatori. una rete di calcolatori è costituita da due o più calcolatori autonomi che possono interagire tra di loro una rete permette:

Guida per la configurazione di un account di posta elettronica Midhgard sul programma. Outlook Express

Configurare Outlook Express

Computer forensics in azienda: l esperienza del CERT-IT 1

Università Degli Studi dell Insubria. Centro Sistemi Informativi e Comunicazione (SIC) Rete Wireless di Ateneo UninsubriaWireless

Modalità e luogo del trattamento dei Dati raccolti Modalità di trattamento

ARCHIVIA PLUS - DOCPORTAL

Sicurezza delle reti. Monga. Ricognizione. Scanning Breve ripasso socket Network mapping Port Scanning NMAP. Le tecniche di scanning

In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano.

Manuale d uso applicazione web presenze della

Elementi di Sicurezza e Privatezza Laboratorio 4. Chiara Braghin. Caso di studio: Apache Web Server

1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Le imprese di nuova costituzione dovranno dotarsi di certificata da subito, all atto della costituzione.

Come condividere l accesso internet tramite chiavetta HSPDA di 3 (o altro operatore) con un Ipod Touch via WIFI

Politica per la Sicurezza

flusso delle informazioni... 2 password... 3 password/ inserimento di una nuova richiesta... 4 le condizioni di vendita... 6

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Transcript:

Sicurezza dei sistemi e delle 1 Mattia Dip. di Informatica Università degli Studi di Milano, Italia mattia.monga@unimi.it Lezione XIV: Fast-Flux a.a. 2014/15 1 cba 2011 15 M.. Creative Commons Attribuzione Condividi allo stesso modo 4.0 Internazionale. http://creativecommons.org/licenses/by-sa/4.0/deed.it. Derivato con permesso da 2010 M. Cremoni. 1 277 una di macche fette (bot, zombie) controllate da un unico attaccante (bot-master, mother-ship) usate per: spam, DDoS, phishg, scam, SQL jection massivi,... 278 279

Non solo spam... Tecniche di propagazione Analisi di 10 giorni di traffico di generato da Torpig: Unique IP Count 1.148.264 Unique Torpig keys (maches) 180.835 POP accounts 415.206 Email addresses 1.235.122 Passwords 411.039 Unique credit cards 875 Unique ATM ps 141 Unique social security numbers 21 Propagation mechanisms Percentage File sharg executables 40% File transfer/email attachment 32% File transfer/cifs 28% File sharg/p2p 19% Remotely exploitable vulnerability 17% SQL 3% Back door/kuang2 3% Back door/subseven 3% File transfer/embedded HTTP URI/Yahoo! Messenger 2% Web 1% Symantec, 2007 280 281 una tecnica ( 2007) utilizzata per aumentare la robustezza della botnet, rendendola piú difficile da identificare. l idea è semplice: si aggiunge un livello di direttezza fra vittime e attaccante. Authoritative (ns1.ktthe.com) A 212.23.46.91 A 137.243.0.8... + A? tje.mooffx.com.cn Mother-ship (tje.mooffx.com.cn) A? tje.mooffx.com.cn A 137.243.0.8 A... GET /d... Malware Agent 2 Malware GET /d... Agent 5 Agent 1 Agent 3 Agent 4 Agent 6 Non-authoritative Victim 282 283

Fast-Flux @ Unimi Authoritative Mother-ship Agent 2 Agent 1 Agent 5 Non-authoritative Agent 4 Agent 6 Agent 3 Victim Come identificare una FFSN? Ci sono moltissime caratteristiche misurabili...... ma nessuna è sufficiente per identificare una FFSN I bot offle, disfettati o problematici vengono immediatamente rimpiazzati da altri Composta da milioni di agenti (Nostri esperimenti: 121.000 fast-flux FQDN 360.000 host) Piú domi vengono utilizzati dalla stessa botnet (non basta chiudere un domio) 284 285 Fast-Flux @ Unimi Features of fast-flux si monitora un hostname sospetto, fgendosi una vittima si raccolgono dati e si identificano le FFSN tramite classificazione complessa si tengono sotto controllo le FFSN per elencare il maggior numero di agenti fetti Doma Availability Heterogeneity Doma age # of DNS records of type A TTL of DNS records # of s # of autonomous systems # of resolved QDNs # of assigned names # of organisations Benign avast.com 539 12 3600 adriaticobishkek.com 65 21 1200 google.com 542 3 300 mean 493.27 2.86 4592.53 std. dev. 289.27 3.89 7668.74 Malicious evengher.com 18 127 300 factvillage.com 2 117 300 doacaso.com 2 33 180 mean 4.85 98.13 261.49 std. dev. 4.9 37.27 59.64 286 287

Architettura del sistema e truffe via web Collector Raccoglie nomi di domio sospetti da sonde formative (e.g, spam... ) Monitor per ogni DN sospetto raccoglie fo sulle caratteristiche per ogni DN malevolo (classificato dal Detector) raccoglie gli IP degli agenti fetti Detector classifica i sospetti malevoli e benevoli tramite un classificatore bayesiano Trag set di partenza: 50 benevoli + 58 malevoli classificati manualmente Riassumendo 288 Descrizione # Email processate 144952 URL estratti 34466 FQDN attivi 29368 9988 Agenti 162855 25 # agenti # FFSN European Pharmacy 65043 3950 Halifax Onle Bankg 46772 1 Digital Shop 20069 17 Royal Caso 15078 34 Royal VIP Caso 8665 16 Euro Dice Caso 7667 28 # spam email % spam (rispetto al totale) European Pharmacy 12056 8.32% SwissWatchesDirect 3330 2.30% RXNET 2558 1.76% MaxHerbal 1897 1.31% Altre FFSN 6395 4.41% Totale 144952 18.10% Protezione dei servizi critici 289 Le botnet nascondono la propria topologia grazie a registrar compiacenti sono rilevabili con tecniche di data mg L accesso ai servizi critici è controllato Autenticazione: chi è l agente (che opera nome di un prcipal Autorizzazione: l agente autenticato ha il permesso? 290 291

Autenticazione Modalità di autenticazione Alice Bob Autenticazione Autenticare significa verificare l identità di un soggetto (non necessariamente umano) Modalità di base per l autenticazione (di Alice) tramite : 1 password (ossia la conoscenza di un segreto) 2 locazione (logica o fisica) da cui proviene la richiesta di autenticazione 3 per mezzo di operazioni crittografiche su dati forniti dall autenticatore (Bob). 292 293 Pericoli Difese Alcune vulnerabilità sono trseche: Le password possono essere dovate Le locazioni possono essere millantate I dati crittografici possono essere tercettati e riutilizzati (replay attack) Queste macce possono essere mitigate Aumentando la cardalità delle password possibili Controlli di coerenza Crittografia a chiave pubblica e protocolli articolati L autorizzazione conseguita con l autenticazione dura un tervallo temporale detto sessione. 294 295

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back