Massachusetts Institute of Technology. Vorlesung # 6.858. "Sicherheit von Computersystemen." Nikolai Zeldovich, James Mickens. 2014 Jahr
Computer Systems Security ist ein Kurs zur Entwicklung und Implementierung sicherer Computersysteme. Die Vorträge behandeln Bedrohungsmodelle, Angriffe, die die Sicherheit gefährden, und Sicherheitstechniken, die auf jüngsten wissenschaftlichen Arbeiten basieren. Zu den Themen gehören Betriebssystemsicherheit, Funktionen, Informationsflussmanagement, Sprachsicherheit, Netzwerkprotokolle, Hardwaresicherheit und Sicherheit von Webanwendungen.
Vorlesung 1: „Einführung: Bedrohungsmodelle“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 2: „Kontrolle von Hackerangriffen“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 3: „Pufferüberläufe: Exploits und Schutz“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 4: „Trennung von Privilegien“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 5: „Woher kommen Sicherheitssysteme?“
Teil 1 /
Teil 2Vorlesung 6: „Chancen“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 7: „Native Client Sandbox“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 8: „Netzwerksicherheitsmodell“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 9: „Sicherheit von Webanwendungen“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 10: „Symbolische Ausführung“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 11: „Ur / Web-Programmiersprache“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 12: Netzwerksicherheit
Teil 1 /
Teil 2 /
Teil 3Vorlesung 13: „Netzwerkprotokolle“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 14: „SSL und HTTPS“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 15: „Medizinische Software“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 16: „Seitenkanalangriffe“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 17: „Benutzerauthentifizierung“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 18: „Privates Surfen im Internet“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 19: „Anonyme Netzwerke“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 20: „Sicherheit von Mobiltelefonen“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 21: „Tracking-Daten“
Teil 1 /
Teil 2 /
Teil 3 Vorlesung 22: „Informationssicherheit MIT“
Teil 1 /
Teil 2 /
Teil 3Vorlesung 23: „Sicherheitsökonomie“
Teil 1 /
Teil 2Der Vorlesungsartikel beschreibt verschiedene Vergeltungsstrategien, die einen Spammer stoppen können. Die Autoren stellten fest, dass es eine begrenzte Anzahl von Domainnamen-Registraren für Partnerprogramme gibt. Dies bedeutet, dass die meisten Partner individuell mit einem Registrar verbunden sind, der sich mit ihren Domainnamen und ihrer Infrastruktur befasst. Es ist sehr selten, wenn ein einzelner Domainnamen-Registrar einer Reihe verschiedener Partnerprogramme zugeordnet ist.
Dies bedeutet, dass es kein gemeinsames Zentrum und keinen gemeinsamen Registrar gibt, der die gesamte Spam-Infrastruktur beschädigen könnte. Ein ähnliches Muster gilt für Dinge wie Webserver. Es ist selten, dass ein ISP-Anbieter eine Reihe von Webservern mit einer Reihe von Partnerprogrammen besitzt. Dieses Geschäft ist verteilter Natur, daher ist es sehr schwierig zu sagen, dass das gesamte Spam-Ökosystem zerstört wird, wenn wir diese drei Anbieter „nehmen“.
Daher ist es schade, dass es keinen einzelnen Server gibt, der getroffen werden könnte, um Spam zu stoppen. Später werden wir sehen, dass dies in Bezug auf einige Schattenbankensysteme funktionieren kann, sodass wir es vielleicht immer noch schaffen, Druck auf den Spammer auszuüben.
Kehren wir zur Phase der Spam-Implementierung zurück und sehen, was passiert, nachdem Sie als Benutzer sich für den Kauf entschieden haben. Die Implementierungsphase besteht aus zwei Teilen.
Der Benutzer zahlt für alle Waren, die er kauft oder kaufen möchte, und dann, so hoffe ich, erhält er diese Waren entweder per Post, wie beim Kauf gefälschter Medikamente, oder als Download aus dem Internet, wenn er Raubkopien von Photoshop oder Ähnlichem erhalten möchte.
Der Cashflow sieht ungefähr so aus. Der Kunde kontaktiert den Verkäufer und teilt ihm mit, dass er etwas kaufen möchte. Er sendet Kreditkarteninformationen, wonach der Verkäufer mit dem Zahlungsabwickler kommuniziert. Dies ist ein wichtiger Vermittler, der dem Verkäufer, dem Spammer, hilft, einige der Feinheiten der Interaktion mit dem Kreditkartensystem zu verstehen. Der Zahlungsabwickler kontaktiert die Servicebank.
Die Servicebank führt alle Operationen im Zusammenhang mit Abrechnungen und Zahlungen mit Bankkarten durch. Er bezieht sich in dem Artikel auf ein sogenanntes "verbundenes Netzwerk", aber wir werden es einfach als Visa oder MasterCard-Zahlungssystem betrachten, es ist also nur ein Kreditkartennetzwerk.
Schließlich kommunizieren diese Assoziationsnetzwerke oder Kartennetzwerke mit der ausstellenden Bank des Käufers. Tatsächlich fragen sie nach Informationen, ob diese Transaktion legal ist, dh mit Zustimmung des Karteninhabers. Wenn ja, geht das Geld durch dieses ganze System und geht an den Verkäufer. So sieht der End-to-End-Finanzfluss aus. Dieser Workflow kann viel Geld verarbeiten. Einer der im Vorlesungsmaterial erwähnten Artikel besagt, dass ein Partner durch einen solchen Deal mehr als 10 Millionen Dollar erhalten kann. Es stellt sich die Frage, warum die erwerbende Bank oder die ausstellende Bank nicht melden, dass hier etwas nicht stimmt. Wie sich herausstellt, melden sie in vielen Fällen wirklich nichts.
Ich frage mich, warum das Finanzsystem solche Prozesse toleriert. Warum klassifizieren Spammer beispielsweise ihre Geschäfte korrekt? Wenn Sie etwas über dieses System senden möchten, müssen Sie die Art der ausgeführten Transaktion korrekt angeben und angeben, dass Sie Arzneimittel, Software oder was auch immer verkaufen, es spielt keine Rolle. Es kann davon ausgegangen werden, dass ein Spammer, der gefälschte Vitamine verkauft, nicht angeben möchte, dass er im Pharmageschäft tätig ist. Es ist jedoch interessant, dass Spammer in den meisten Fällen Transaktionen korrekt klassifizieren. Der Grund ist, dass für eine falsche Klassifizierung eine hohe Strafe verhängt werden kann.
Daher glauben verbundene Netzwerke wie Visa oder Mastercard, dass bei solchen Transaktionen alles in Ordnung ist, auch wenn sie etwas verdächtig aussehen. Aber sie wollen nicht wegen Geldwäsche oder des Versuchs, die Behörden zu täuschen, angeklagt werden. Solange Sie richtig klassifizieren, was Sie tun, verteidigen Sie sich in gewissem Sinne. Weil Sie den Behörden immer mitteilen können, dass Sie das Gesetz nicht ein wenig verstanden haben, aber zumindest nicht versucht haben, den Zweck dieser Transaktion zu verbergen. Daher klassifizieren Spammer ihre Transaktionen häufig korrekt, dh sie spielen mit einem bestimmten Maß innerhalb des Systems.
Eine andere Frage, die ich zuvor erwähnt habe, ist, warum ein Spammer etwas an Kunden senden sollte. Angeblich, wenn Sie ein Spammer sind, dann sind Sie ein Verbrecher, richtig? Warum also nicht einfach Geld von den Menschen sammeln und nicht mit ihnen davonlaufen? Es stellt sich heraus, dass sie tatsächlich Dinge an Kunden senden, weil sie nicht mit hohen Geldstrafen rechnen wollen. Dies ist ein sehr interessantes System, in dem Spammer legal etwas tun möchten, und obwohl sie Bitcoins immer noch nicht verwenden können, müssen sie tatsächlich innerhalb der Grenzen eines vorhandenen Systems arbeiten.
Hohe Bußgelder werden auch vergeben, wenn der Spammer viele Rückbuchungen hat. Eine Rückbuchung bedeutet, dass der Kunde dem Finanzunternehmen mitteilt, dass er die bezahlte Ware nicht erhalten hat oder die Qualität der erhaltenen Ware nicht zu ihm passt. Wenn ein Spammer zu viele Kunden hat, die eine Rückerstattung benötigen, werden ihm daher sehr, sehr hohe Geldstrafen berechnet. Daher ist der Prozentsatz der Rückbuchungen bei Spam-Transaktionen recht gering. Tatsache ist, dass die Umrechnungskurse ihrer Gewinne sehr niedrig sind, so dass bereits ein oder zwei Bußgelder den gesamten monatlichen Gewinn zerstören können. Daher sind Spammer wirklich daran interessiert, in beiden oben genannten Fällen Geldstrafen zu vermeiden.
Zielgruppe: Trägt die Verwendung von PayPal zu einer versteckteren Beziehung zur Bank bei?
Professor: ja und nein. PayPal ist Visa oder MasterCard in vielerlei Hinsicht sehr ähnlich. Seine Aktivitäten werden durch ähnliche Regeln geregelt, da diese Zahlungssysteme die gleichen Arten von Risiken aufweisen. Ich denke, dass Visa für einige Dinge strengere Beschränkungen hat, über die wir gleich sprechen werden. Aber als Zahlungssystem hat Paypal ähnliche Ziele.
Zielgruppe: Gibt es eine Idee, eine Gruppe zu organisieren, in der Sie ein Konto erstellen und dann absichtlich auf die Website des Spammers gehen, ein paar Dinge kaufen und dann Rückbuchungen veranlassen, um eine Geldstrafe von ihm zurückzufordern? Oder melden Sie, dass Spammer Geschäfte, die mit einer Geldstrafe belegt werden sollen, falsch klassifizieren?
Professor: interessante Idee, genau wie Bürgerwehr!
Teilnehmerin: Ja, Spammer Spam.
Professor: Ja, das stimmt, aber davon habe ich noch nie gehört. Ich weiß, dass Spammer versuchen, Leute zu finden, die sie trollen. Der Artikel gibt an, wie Autoren Spammer identifiziert haben. Sie erhielten eine Reihe von Spam-Nachrichten, gingen eine Reihe von Links durch, stellten eine spezielle Visa-Karte aus, mit der sie diese Dinge kauften, und so weiter. Sie nennen es "Testkäufe". Spammer versuchen jedoch, Testkäufe von Personen zu verhindern, die versuchen, herauszufinden, was passiert. Daher müssen Sie bei einigen Spammern Ihre Identität überprüfen, bevor Sie etwas verkaufen. Möglicherweise werden Sie gebeten, ein Ausweisfoto oder ähnliches zu senden. Einige Leute haben damit begonnen, nachdem Visa die Spam-Regeln verschärft hatte. Jetzt haben Spammer Probleme, weil Personen, die auf Spam-Links klicken, keinen Scan ihrer ID an eine zufällige Person senden möchten. Der Artikel enthält Auszüge aus der Korrespondenz von Spammern im Forum, in denen sie sich darüber beschweren, dass Visa sie erhalten hat. Sie sind gezwungen, die Leute zu bitten, ihnen eine Identitätsbestätigung zu senden, wollen dies aber nicht. Es ist seltsam, dass Menschen Angst haben, Scans von Dokumenten an Spammer zu senden, aber sie haben keine Angst, ihnen ihre Kreditkartennummern zu geben. In jedem Fall sind Spammer daran interessiert, rechtzeitig Leute zu finden, die versuchen, sie an sauberes Wasser zu bringen.
Teilnehmerin: In Bezug auf Rückbuchungen - ist es möglich, dass Menschen, die nicht möchten, dass ihre Bank weiß, dass sie illegale Dinge kaufen, sich schämen, eine Rückerstattung zu verlangen, selbst wenn sie die Waren nicht erhalten haben?
Professor: gute Frage. Ich weiß nicht, wie viele Leute, die alle Arten von Nahrungsergänzungsmitteln gekauft haben, von ihnen enttäuscht waren und dies ihrer Bank gemeldet haben. Es ist interessant, dass die Bank zunächst weiß, wohin das Geld gesendet wird, aber ich denke, Sie müssen ihr keine zusätzlichen Informationen über die Transaktion mitteilen, um eine Rückerstattung zu erhalten.
Zielgruppe: Wie viel Prozent der Rückbuchungen machen einem Spammer Sorgen?
Professor: Sie nennen Zahlen in der Größenordnung von 1% aller Transaktionen. Mit anderen Worten, wenn Sie ein Spammer sind und mehr als 1% der Transaktionen eine Rückbuchung erfordern, gibt dies Anlass zur Sorge. Ich wäre nicht überrascht über die niedrigeren Zahlen, aber ich hörte ungefähr ein Prozent.
Wie gesagt, für mich war es einer der interessantesten Teile des Artikels, weil ich immer geglaubt habe, dass die obligatorische Eigenschaft von Spam offener Betrug ist. Das heißt, die Leute folgten den Links, schickten Geld und erhielten nichts. Es stellte sich jedoch heraus, dass Spammer das gesamte Netzwerk durchlaufen müssen, das über Mechanismen zur Verhinderung von Betrug verfügt, und letztendlich gezwungen sind, Dinge an Kunden zu senden.
Ein weiterer Grund, warum Spammer es vorziehen, sorgfältig zu handeln, Transaktionen korrekt zu klassifizieren und tatsächlich Dinge an Kunden zu senden, ist, dass nur wenige Banken bereit sind, mit Spammern zusammenzuarbeiten. Dies bedeutet, dass wenn ein Spammer viele Rückbuchungen erhält oder Probleme mit Bankgeschäften und Kreditkarten verursacht, eine Bank möglicherweise die Beziehungen zu ihm abbricht. Gleichzeitig gibt es nicht viele andere Banken, die sich bereit erklären, den Spammer zu treffen, damit er sich weiterhin mit seinen „Streiche“ befasst.
Studien zu diesem Thema haben gezeigt, dass es nur etwa 30 übernehmende Banken gibt, deren Dienste Spammer seit mehr als zwei Jahren nutzen. In der Tat ist dies eine sehr kleine Anzahl von Banken. Der Mangel an Banken dient also als Anreiz, nicht mit dem Finanzsystem herumzuspielen, da der Spammer einfach niemanden hat, mit dem er Kontakt aufnehmen kann, wenn er die etablierten Partnerschaften bricht.
Es scheint also, dass die strikte Einhaltung der Finanzregeln Spam reduzieren kann. Wir haben diskutiert, dass Dinge wie ein Botnetz Spammern viele IP-Adressen zur Verfügung stellen, es gibt genügend Anbieter, die bereit sind, Webserver für sie zu betreiben, und so weiter, aber die Anzahl der bedienenden Banken scheint tatsächlich gering zu sein. Vielleicht können wir hier wirklich Spam angreifen.
Wie ich bereits sagte, ist dies jedoch schwierig, da es schwierig ist, die Illegalität von Spam-Aktivitäten nachzuweisen. Wenn Sie beispielsweise Spam-Nachrichten verwenden, um beispielsweise Zucker zu verkaufen, gibt es nichts Illegales, da der Verkauf von Zucker keine Gesetze verletzt. Sie können den Käufer im Verkaufsprozess irgendwie täuschen, aber der Verkauf von Zucker an sich ist keine illegale Aktivität.
Wie sich herausstellt, fällt viel Spam in diese "Grauzone", in der die Dinge, die Spammer tun, unangenehm sein können, aber es ist nicht notwendig, das Gesetz zu brechen. Bei Dingen wie Raubkopien beschreibt die Gesetzgebung die Rechtsstaatlichkeit klarer. Sie können jedoch nicht einfach auf eine dieser Banken zeigen und sagen: "Hallo, Ihre Kunden sind Kriminelle!". Dies ist nicht immer der Fall, insbesondere wenn es keine eindeutigen Papiernachweise gibt, die die Finanztransaktion mit der URL des Spammers verknüpfen ist die Quelle des Ursprungs dieser Transaktion. Es ist oft sehr schwierig, die Verbindung dieser Links in der Spam-Verteilungskette nachzuweisen.
Seit der Veröffentlichung des Artikels, den wir in Betracht gezogen haben, hat die Kreditkartenbranche einige Vergeltungsmaßnahmen ergriffen, da dieser Artikel zum Zeitpunkt seiner Veröffentlichung für Furore sorgte. Danach fragten sich die Verbände von Visa und MasterCard, was sie tun könnten, um einen Teil des Spam zu entfernen. Interessanterweise reichten einige Pharmaunternehmen und Softwareanbieter nach der Veröffentlichung des Artikels Beschwerden bei Visa ein.
Wenn Sie sich an den Artikel erinnern, war Visa ein assoziiertes Netzwerk, über das Spam-Forscher Tests oder fiktive Einkäufe getätigt haben. Einige Unternehmen betrachteten Visa daher als System zur Finanzierung von Spammern und beschlossen, sich darüber zu beschweren.
Als Reaktion auf diese Beschwerden nahm Visa einige Änderungen an seiner Zahlungsrichtlinie vor. Zum Beispiel kennzeichnen jetzt alle Transaktionen mit pharmazeutischen Produkten Visa als risikoreiche Verkäufe. Dies bedeutet, dass Visa, wenn die Bank als Erwerber für diese Transaktionen fungiert, strengere Transaktionsbedingungen dafür festlegt, z. B. die Bank zur Teilnahme am Risikomanagementprogramm verpflichtet oder diese häufiger überprüft.
Visa hat auch die internen Vorschriften geändert. Jetzt haben sie eindeutig eine Liste definiert und den illegalen Verkauf von Arzneimitteln und Waren, die durch eingetragene Marken geschützt sind, verboten.
Dies trägt dazu bei, aggressivere Bußgelder gegen Banken und Händler einzuführen, die nach diesem Zahlungssystem am illegalen Verkauf von Medikamenten, Uhren gefälschter Marken usw. beteiligt sind. Ich wiederhole noch einmal - es gibt immer noch viel Spam in der "Grauzone", und dies ist nicht unbedingt illegal. Es ist nur so, dass Kunden bestimmte Tricks anwenden müssen. Aber jetzt kann Visa eine stärkere Wirkung auf die Menschen haben.
Um gefälschte Einkäufe zu vermeiden, die nicht nur von Spam-Forschern, sondern auch von zugehörigen Netzwerken durchgeführt werden, forderten Spammer von Käufern Identifikationsscans, was in der Regel nicht sehr gut ist.
Zumindest einige Jahre nachdem die Zahlungssysteme die Transaktionsregeln geändert hatten, hatte dies Auswirkungen. Es ist gut zu sehen, dass dieser Artikel einen großen Einfluss auf das wirkliche Leben hatte.
Eine weitere interessante Sache, die in dem Artikel erwähnt wird, sind die ethischen Aspekte der Durchführung von Sicherheitsforschung, insbesondere der Spam-Kettenforschung. Um zu verstehen, wie einige der Bankmechanismen funktionieren, mussten die Forscher tatsächlich Einkäufe tätigen. Sie mussten einen Spammer für diese Waren bezahlen. Die Autoren schreiben, dass sie alles, was sie gekauft haben, zerstört haben, ohne etwas zu verwenden, und haben mit Entwicklungsunternehmen über den Kauf von Raubkopien ihrer Software gesprochen, bevor sie diese gekauft haben.
Tatsächlich ist der Ursprung solcher Dinge von großer Bedeutung, insbesondere im universitären Umfeld. Denn wenn Sie etwas tun möchten, das Persönlichkeitsforschung umfasst, alles, was ethische Aspekte haben kann, müssen Sie die Erlaubnis von Anwälten der Ethikbewertungskommission für IRB-Forschungsprojekte und dergleichen einholen. Für Forscher ist es sehr wichtig sicherzustellen, dass ihre Aktionen Angreifer in einer abgelegenen Ecke der Welt nicht unterstützen. Dies ist auch ein interessanter Teil der Vorlesungsunterlagen, da wir bereits besprochen haben, wie ethisch es ist, Zero-Day-Exploits zu entwickeln, wenn Sie wissen, dass sie nicht von jemandem behoben werden können? Das ist also ein wirklich interessanter Aspekt der Sicherheitsforschung.
Teilnehmerin: Gibt es eine Aufsicht über die Sicherheitsethik? Weil der Artikel sagt, dass der IRB daran nicht interessiert ist.
Professor: Ja, das war sehr interessant. , IRB , , . , , - -. , . , . , IRB , , , .
: , 350 -, 28 , , 28 , ?
: , , , . , , 5 , , .
, , , . , , , . , - , , , , – , , .
, , 35 , , , 35 2 — . .
: 350 ? , 350 -.
: . , . , , - . , , , , -.
: , , , .
: , , . , , , , hackback, « ». , - , .
, , , . , . – , , . , 2013 , Microsoft, American Express, Paypal, . , , . , Command & Control. , , , «» .
, . , Microsoft , Microsoft.
, Windows , Windows, , , Microsoft . , . .
, . , , .
, , , , , .
, , .
.
Vielen Dank für Ihren Aufenthalt bei uns. Gefällt dir unser Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung
aufgeben oder Ihren Freunden empfehlen, einen
Rabatt von 30% für Habr-Benutzer auf ein einzigartiges Analogon von Einstiegsservern, das wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s von $ 20 oder wie teilt man den Server? (Optionen sind mit RAID1 und RAID10, bis zu 24 Kernen und bis zu 40 GB DDR4 verfügbar).
VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s bis Januar kostenlos, wenn Sie für einen Zeitraum von sechs Monaten bezahlen, können Sie
hier bestellen.
Dell R730xd 2 mal günstiger? Nur wir haben
2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV von 249 US-Dollar in den Niederlanden und den USA! Lesen Sie mehr über
den Aufbau eines Infrastrukturgebäudes. Klasse mit Dell R730xd E5-2650 v4 Servern für 9.000 Euro für einen Cent?