Reti di Calcolatori II - UniNa STiDuEunina.stidue.net/Computer Networks 2/Materiale/Slides/10.5 -...
Transcript of Reti di Calcolatori II - UniNa STiDuEunina.stidue.net/Computer Networks 2/Materiale/Slides/10.5 -...
1
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Reti di Calcolatori II
Introduction to
Information WarfareParte III
Giorgio VentreDipartimento di Informatica e Sistemistica
Università di Napoli Federico II
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Nota di Copyright
Quest’insieme di trasparenze è stato ideato e realizzato dai ricercatori del Gruppo di Ricerca sull’Informatica Distribuita del
Dipartimento di Informatica e Sistemistica dell’Università di Napoli e del Laboratorio Nazionale per la Informatica e la Telematica Multimediali. Esse possono essere impiegate
liberamente per fini didattici esclusivamente senza fini di lucro, a meno di un esplicito consenso scritto degli Autori. Nell’uso dovrà essere esplicitamente riportata la fonte e gli Autori. Gli
Autori non sono responsabili per eventuali imprecisioni contenute in tali trasparenze né per eventuali problemi, danni o
malfunzionamenti derivanti dal loro uso o applicazione.
2
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Why So Many Attacks?
� Systems are complex and vulnerable
� More targets and attackers owing to Internet growth
� Attackers are organized and communicate» teach each other and novices
» exchange tools and information
� Attackers developing increasingly powerful tools» exploitation scripts and sophisticated toolkits
» build on each other’s work and work of security community
� Attacks easy, low risk, hard to trace» investigations difficult; often international
� Lack of security awareness, expertise, or priorities» .0025 percent of revenue spent on information security [Forrester]
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
System Vulnerabilities
� Vulnerabilities arise in
» products – OS, network services, applications
» product configuration and operation – bad defaults, not installing patches
» user practices - bad passwords
� Product vulnerabilities are increasing
» systems are complex
� Most attacks exploit known vulnerabilities – maybe 99% of attacks
� Same types of vulnerabilities occur over and over again
� Many vulnerabilities give attacker “root” access
� Disclosure is big issue
3
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Internet Auditing Project
� Scanned Internet (36 M hosts)
� 3 week period in Dec 98
� Used Bulk Auditing Security Scanner (BASS)» can download source code from www.securityfocus.com
� Scanned for 18 known Unix vulnerabilities
� Ran scan from 8 Unix boxes in Brazil (2), Israel, Japan, Mexico, and Russia (2)
� Found 450,000 vulnerable hosts (1.25%)
� Scanners used SSH to communicate securely
� Scanners experienced some attack-backs» one 18-hr. DOS attack against one of the Russian machines
– switched to backup
4
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Vulnerability Trends
Vulerabilities Reported to CERT/CC
0
500
1000
1500
2000
2500
3000
95 96 97 98 99 00 01
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
OS Vulnerabilities1997 – early 2001 [Securityfocus.com]
5
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Software Complexity
Windows Complexity
0
5
10
15
20
25
30
35
40
45
W 3.1
(90)
W NT
(95)
W 95
(97)
NT 4.0
(98)
W 98
(99)
NT 5.0
(00)
W 2K
(01)
W XP
(02)
Lin
es
of
Co
de
(m
illi
on
s)
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
SANS/FBI Top 20 List 2002 – www.sans.org
6
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Weak Passwords
� Survey of 1,200 CentralNic employees found
» 1/2 used passwords with family connections
» 1/3 used passwords based on celebrities, fictional characters or sports teams
» 1/10 used self-laudatory, fantasist passwords
� “password” was the most common password in DoD
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Times digitally edited out
names of participants
Cryptome found that names
could be read by freezing the
page just before full loading
(on slow computer)
Vulnerabilities
can be subtle
Same thing happened recently
With the DoD Report on the
Sgrena Accident in IRAQ
7
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Vulnerability Disclosure� Full disclosure
» publish all information about vulnerability, including exploit tools
� Benefits» bad guys will figure it out; good guys need to know for defense
» vendors won’t pay attention unless pressured by disclosure
� Drawbacks» disclosure, especially of exploit tools, leads to increase in exploits
» makes it easier for hackers to develop more sophisticated tools
� Initiatives to develop responsible standards for handling vulnerabilities» IETF draft Responsible Disclosure Process
» Organization for Internet Safety (OIS) – major companies
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
“Windows of Vulnerability: A Case Study Analysis,”
William A. Arbaugh, William L. Fithen, and John McHugh,
IEEE Computer, vol. 33, no. 12, December 2000.
Intuitive but wrong
Vulnerability/Exploit Life Cycle
8
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
9
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Attack Tools – More Powerful and Easy to Use
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
10
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
11
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
12
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
13
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
14
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Challenges and Trends
� Growing number of attacks
� Growing number of attackers
� Faster attacks and propagation over network
� Growing complexity of products and networks
� Growing number of vulnerabilities» insider vulnerabilities cannot be eliminated
� Growing use of information technology and IP networks
� Pervasive, grounded, and mobile computing
� Growing power and sophistication of attacks and tools
� Impossible to prevent all attacks
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Safeguards
pre-set secret codes
encrypted data
limits on # changes at once
15
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Indirect threaths
� A quite problematic category of risks is related to legal and financial responibility for illegal activities
� Use of the communication infrastructure of a subject to committ a crime
» Illegal access
» D-DOS
» Copyright infringement
» Virus spread
» …
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Copyright
� Much material accessible via the Internet is subject to copyright - including:
» Commercially-produced music recordings
» Videos
» Computer software
� Making copies is illegal, without permission of the rights holder
� “Personal use” is not exempt
16
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
P2P fileswapping
� Legal threats made against the University
� British phonographic industry now suing individuals
� 60 P2P occurrences noted during Sept 2004
� 2 turned out to be not infringing copyright
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
P2P Security Risks
� Unintentional uploading
� Risk of malware
� Unacceptable license conditions
17
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Hope for The Future� Increased security awareness
� Increased priority
� Growing number of information security experts
� Growing security industry, with new and better products and services
� Growing number of public and private sector security initiatives, including joint public/private initiatives
� Attention from Congress and the Administration, backed by $$$ for research and education/training» President's proposed FY-03 budget includes 64% increase for
network security
� New laws to facilitate investigations
� International cooperation to fight cyber crime
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Security Priority in Federal Govt
� Federal CIOs say protecting Internet infrastructure takes priority over e-government after September 11
� Infosec needed to protect against terrorism and to enable e-government
� Security Priorities
» securing the Internet against terrorist acts.
» integrating "appropriate data" to better fight terrorism.
» ensuring Internet content does not aid terrorists.
» ensuring a "robust" infrastructure with particular emphasis on telecommunications.
18
Dipartimento di Informatica e Sistemistica, Università di Napoli Federico II Corso di Reti di Calcolatori II – Anno accademico 2007/2008
Security Priority in Microsoft
� Bill Gates memo on 1/15/02 stating security as a priority:» “Trustworthy Computing is the highest priority for all the work we
are doing.”
» “We must lead the industry to a whole new level of Trustworthiness in computing.”
» “So now, when we face a choice between adding features and resolving security issues, we need to choose security.”
» “Our products should emphasize security right out of the box, and we must constantly refine and improve that security as threats evolve.”
� Microsoft announced on Feb 1 a month-long moratorium on new coding as part of its Trustworthy Computing Initiative