Curso MIT "Seguridad de sistemas informáticos". Lección 23: Economía de la seguridad, parte 3

Instituto de Tecnología de Massachusetts. Conferencia Curso # 6.858. "Seguridad de los sistemas informáticos". Nikolai Zeldovich, James Mickens. Año 2014

Computer Systems Security es un curso sobre el desarrollo e implementación de sistemas informáticos seguros. Las conferencias cubren modelos de amenazas, ataques que comprometen la seguridad y técnicas de seguridad basadas en trabajos científicos recientes. Los temas incluyen seguridad del sistema operativo (SO), características, gestión del flujo de información, seguridad del idioma, protocolos de red, seguridad de hardware y seguridad de aplicaciones web.

Lección 1: "Introducción: modelos de amenaza" Parte 1 / Parte 2 / Parte 3
Lección 2: "Control de ataques de hackers" Parte 1 / Parte 2 / Parte 3
Lección 3: “Desbordamientos del búfer: exploits y protección” Parte 1 / Parte 2 / Parte 3
Lección 4: “Separación de privilegios” Parte 1 / Parte 2 / Parte 3
Lección 5: “¿De dónde vienen los sistemas de seguridad?” Parte 1 / Parte 2
Lección 6: “Oportunidades” Parte 1 / Parte 2 / Parte 3
Lección 7: “Sandbox de cliente nativo” Parte 1 / Parte 2 / Parte 3
Lección 8: "Modelo de seguridad de red" Parte 1 / Parte 2 / Parte 3
Lección 9: "Seguridad de aplicaciones web" Parte 1 / Parte 2 / Parte 3
Lección 10: “Ejecución simbólica” Parte 1 / Parte 2 / Parte 3
Lección 11: "Ur / Lenguaje de programación web" Parte 1 / Parte 2 / Parte 3
Lección 12: Seguridad de red Parte 1 / Parte 2 / Parte 3
Lección 13: "Protocolos de red" Parte 1 / Parte 2 / Parte 3
Lección 14: "SSL y HTTPS" Parte 1 / Parte 2 / Parte 3
Lección 15: "Software médico" Parte 1 / Parte 2 / Parte 3
Lección 16: "Ataques de canal lateral" Parte 1 / Parte 2 / Parte 3
Lección 17: "Autenticación de usuario" Parte 1 / Parte 2 / Parte 3
Lección 18: "Navegación privada en Internet" Parte 1 / Parte 2 / Parte 3
Lección 19: "Redes anónimas" Parte 1 / Parte 2 / Parte 3
Lección 20: "Seguridad del teléfono móvil" Parte 1 / Parte 2 / Parte 3
Lección 21: “Datos de seguimiento” Parte 1 / Parte 2 / Parte 3
Lección 22: "MIT de seguridad de la información" Parte 1 / Parte 2 / Parte 3
Lección 23: "Economía de la seguridad" Parte 1 / Parte 2

El artículo de la conferencia discute varias estrategias de represalia que pueden detener a un spammer. Los autores señalaron que hay un número limitado de registradores de nombres de dominio para programas de afiliación. Esto significa que la mayoría de los socios afiliados están asociados individualmente con un registrador que se ocupa de sus nombres de dominio e infraestructura. Es muy raro cuando un único registrador de nombres de dominio está asociado con un montón de diferentes programas de afiliados.



Esto significa que no hay un centro común, registrador común, huelga que podría dañar toda la infraestructura de correo no deseado. Un patrón similar se aplica a cosas como los servidores web. Es raro que un proveedor de ISP posea un montón de servidores web con un montón de programas afiliados. Este negocio tiene una naturaleza distribuida, por lo tanto, es muy difícil decir que si "tomamos" estos 3 proveedores, se destruirá todo el ecosistema de spam.

Por lo tanto, es una pena que no haya un solo servidor que pueda ser golpeado para detener el envío de spam. Más adelante veremos que esto puede funcionar en relación con algunos esquemas de banca en la sombra, por lo que, tal vez, aún logremos presionar al spammer.

Volvamos a la etapa de implementación de spam y veamos qué sucede después de que usted, el usuario, decida comprar algo. La fase de implementación consta de dos partes.
El usuario paga por cualquier producto que compre o quiera comprar, y luego, espero, los reciba por correo, como en el caso de comprar medicamentos falsos, o descargas de Internet si desea recibir Photoshop pirateado o algo así.



El flujo de caja se parece a esto. El cliente contacta al vendedor y le dice que quiere comprar algo. Envía información de la tarjeta de crédito, luego de lo cual el vendedor se comunica con el procesador de pagos. Este es un intermediario importante que ayuda al vendedor, el spammer, a comprender algunas de las complejidades de interactuar con el sistema de tarjeta de crédito. El procesador de pagos contacta al banco de servicio.

El banco de servicios realiza todas las operaciones relacionadas con liquidaciones y pagos con tarjetas bancarias. Se refiere a lo que se llama una "red asociada" en el artículo, pero lo consideraremos simplemente como un sistema de pago Visa o MasterCard, por lo que es solo una red de tarjeta de crédito.

Finalmente, estas redes de asociación, o redes de tarjetas, se comunican con el banco emisor del comprador. De hecho, solicitan información si esta transacción es legal, es decir, con el consentimiento del titular de la tarjeta. Si es así, el dinero pasa por todo este sistema y va al vendedor. Así es como se ve el flujo financiero de operaciones de extremo a extremo. Este flujo de trabajo puede manejar mucho dinero. Uno de los artículos mencionados en el material de la conferencia dice que un socio puede recibir más de $ 10 millones de dólares como resultado de tal acuerdo. Surge la pregunta, ¿por qué el banco adquirente o el banco emisor no informarán que algo está mal aquí? Como resultado, en muchos casos realmente no informan nada.



Me pregunto por qué el sistema financiero es tolerante con tales procesos. Por ejemplo, ¿por qué los spammers clasifican correctamente sus ofertas? Cuando desee enviar algo a través de este sistema, debe indicar correctamente el tipo de transacción que se está llevando a cabo, lo que indica que está vendiendo productos farmacéuticos, software, lo que sea, no importa. Se puede suponer que un spammer que vende vitaminas falsas no quiere indicar que está involucrado en el negocio farmacéutico. Sin embargo, es interesante que en la mayoría de los casos los spammers clasifiquen correctamente las transacciones. La razón es que se puede otorgar una penalización alta por clasificación incorrecta.

Por lo tanto, las redes asociadas como Visa o Mastercard creen que con tales transacciones todo está en orden, incluso si parecen un poco sospechosas. Pero no quieren ser acusados ​​de lavado de dinero o de intentar engañar a las autoridades. Mientras clasifique correctamente lo que está haciendo, en cierto sentido se está defendiendo. Porque siempre puede decirles a las autoridades que no entendió un poco la ley, pero al menos no trató de ocultar el propósito de esta transacción. Por lo tanto, a menudo los spammers clasifican correctamente sus transacciones, es decir, juegan con cierta medida dentro del sistema.

Otra pregunta que mencioné anteriormente es ¿por qué un spammer enviaría algo a los clientes? Supuestamente, si eres un spammer, entonces eres un criminal, ¿verdad? Entonces, ¿por qué no solo recolectar dinero de la gente y no huir con ellos? Resulta que en realidad envían cosas a los clientes porque no quieren encontrarse con altas multas. Este es un sistema muy interesante en el que los spammers quieren hacer algo legalmente, y aunque todavía no pueden usar bitcoins, de hecho, deben funcionar dentro de las limitaciones de un sistema existente.

También se otorgan altas multas si el spammer tiene muchas devoluciones de cargo. Un contracargo significa que el cliente le dice a la compañía financiera que no ha recibido los bienes pagados o que la calidad de los bienes recibidos no le conviene. Por lo tanto, si un spammer tiene demasiados clientes que requieren un reembolso, se le cobrarán multas muy, muy altas. Por lo tanto, el porcentaje de devoluciones de cargo en transacciones de spam es bastante pequeño. El hecho es que las tasas de conversión de sus ganancias son muy bajas, por lo que incluso una o dos multas pueden destruir toda la ganancia mensual. Por lo tanto, los spammers están realmente interesados ​​en evitar multas en los dos casos anteriores.



Audiencia: ¿El uso de PayPal contribuye a una relación más oculta con el banco?

Profesor: sí y no. PayPal es en muchos aspectos muy similar a Visa o MasterCard. Sus actividades están reguladas por reglas similares, porque estos sistemas de pago tienen los mismos tipos de riesgos. Creo que, para algunas cosas, Visa tiene restricciones más estrictas, de las que hablaremos en un segundo. Pero como sistema de pago, Paypal tiene objetivos similares.

Público: ¿Existe alguna idea de organizar un grupo en el que cree una cuenta y luego ir deliberadamente al sitio web del remitente de correo no deseado, comprar un montón de cosas y luego organizar devoluciones para recuperar una multa de él? ¿O está informando que los spammers clasifican incorrectamente los tratos para ser multados?

Profesor: idea interesante, ¡como los vigilantes!

Público: Bueno, sí, spammers spam.

Profesor: sí, es cierto, pero nunca he oído hablar de eso. Sé que los spammers están tratando de encontrar personas que los engañen. El artículo establece cómo los autores identificaron a los spammers. Recibieron un montón de mensajes de spam, pasaron por un montón de enlaces, emitieron una tarjeta Visa especial, que usaron para comprar estas cosas, y así sucesivamente. Lo llaman "compras de prueba". Sin embargo, los spammers buscan evitar compras de prueba de personas que están tratando de descubrir qué está sucediendo. Por lo tanto, algunos spammers requieren que verifiques tu identidad antes de vender algo. Es posible que le pidan que envíe una foto de identificación o algo así. Algunas personas comenzaron a hacer esto después de que Visa endureció las reglas de spam. Ahora los spammers están teniendo problemas porque las personas que hacen clic en enlaces de spam no quieren enviar un escaneo de su identificación a alguna persona al azar. El artículo proporciona extractos de la correspondencia de los spammers en el foro, donde se quejan de que Visa los obtuvo: se ven obligados a pedirles a las personas que les envíen una confirmación de identidad, pero no quieren hacerlo. Es extraño que las personas tengan miedo de enviar escaneos de documentos a los spammers, pero no tienen miedo de darles sus números de tarjeta de crédito. En cualquier caso, los spammers están interesados ​​en encontrar personas oportunas que traten de llevarlas al agua potable.

Público: con respecto a las devoluciones de cargo: ¿es posible que si las personas no quieren que su banco sepa que están comprando cosas ilegales, se avergüenzan de exigir un reembolso incluso si no han recibido los bienes?

Profesor: buena pregunta. No sé cuántas personas que compraron todo tipo de suplementos dietéticos se sintieron decepcionados por ellos y lo informaron a su banco. Es interesante que el banco sepa primero a dónde se envía el dinero, pero creo que no es necesario que le revele información adicional sobre la transacción para emitir un reembolso.

Audiencia: ¿Qué porcentaje aproximado de devoluciones de cargo hace que se preocupe un spammer?

Profesor: llaman cifras del orden del 1% de todas las transacciones. En otras palabras, si usted es un spammer y tiene más del 1% de las transacciones que requieren una devolución de cargo, esto es motivo de preocupación. No me sorprenderían los números más bajos, pero escuché acerca del uno por ciento.

Como dije, para mí fue una de las partes más interesantes del artículo, porque siempre creí que la propiedad obligatoria del spam es el fraude abierto. Es decir, la gente siguió los enlaces, envió dinero y no recibió nada. Pero resultó que los spammers tienen que pasar por toda esta red, que tiene mecanismos para prevenir el fraude, y finalmente se ven obligados a enviar cosas a los clientes.

Otra razón por la que los spammers prefieren actuar con cuidado, clasificar correctamente las transacciones y realmente enviar cosas a los clientes, es que solo unos pocos bancos están dispuestos a cooperar con los spammers. Esto significa que si un spammer recibe muchas devoluciones de cargo, o crea problemas con las operaciones bancarias y las tarjetas de crédito, entonces algún banco puede romper las relaciones con él. Al mismo tiempo, no hay muchos otros bancos que acepten reunirse con el spammer para que continúe lidiando con sus "bromas".

Los estudios sobre este tema han demostrado que solo hay unos 30 bancos adquirientes cuyos servicios los spammers han utilizado durante más de dos años. De hecho, este es un número muy pequeño de bancos. Por lo tanto, la escasez de bancos sirve como un incentivo para no perder el tiempo con el sistema financiero, porque el spammer simplemente no tendrá a nadie con quien contactar si rompe las asociaciones establecidas.
Por lo tanto, parece que requerir un estricto cumplimiento de las normas financieras puede reducir el spam. Discutimos que cosas como una botnet proporcionan a los spammers muchas direcciones IP, hay suficientes proveedores que están listos para ejecutar servidores web para ellos, y así sucesivamente, pero el número de bancos en servicio en realidad parece pequeño. Entonces, tal vez realmente podamos atacar el spam aquí.

Pero, como ya dije, esto es difícil de hacer debido al hecho de que es difícil probar el hecho de la ilegalidad de la actividad de spam. Por ejemplo, si usa mensajes de spam para vender, por ejemplo, azúcar, no hay nada ilegal porque vender azúcar no viola ninguna ley. De alguna manera puede engañar al comprador en el proceso de venta, pero vender azúcar en sí mismo no es una actividad ilegal.



Como resultado, una gran cantidad de spam cae en esta "área gris", donde las cosas que hacen los spammers pueden ser desagradables, pero no es necesario quebrantar la ley. Para cosas como el software pirateado, la legislación describe más claramente el estado de derecho. Sin embargo, no puede simplemente señalar a uno de estos bancos y decir "¡hola, sus clientes son delincuentes!" Porque esto no siempre es cierto, especialmente si no hay evidencia clara en papel que vincule la transacción financiera con la URL del spammer, que es la fuente del origen de esta transacción. A menudo es muy difícil probar la conexión de estos enlaces en la cadena de distribución de spam.

Desde que se publicó el artículo que estábamos considerando, la industria de las tarjetas de crédito ha tomado algunas medidas de represalia porque este artículo causó un gran revuelo en el momento de su lanzamiento. Después de esto, las asociaciones de sistemas de pago Visa y MasterCard se preguntaron qué podrían hacer para cortar parte del correo no deseado. Curiosamente, después de la publicación del artículo, algunas compañías farmacéuticas y proveedores de software presentaron quejas ante Visa.

Si recuerdas del artículo, Visa era una red asociada a través de la cual los investigadores de spam realizaban pruebas o compras ficticias, por lo que algunas compañías consideraron que Visa se usaba como un sistema para financiar a los spammers y decidieron quejarse al respecto.

En respuesta a estas quejas, Visa realizó algunos cambios en su política de pagos. Por ejemplo, ahora todas las transacciones con productos farmacéuticos que Visa marca como ventas de alto riesgo. Esto significa que si el banco actúa como adquirente para estas transacciones, Visa establecerá condiciones de transacción más estrictas para ello, por ejemplo, requerirá que el banco participe en el programa de gestión de riesgos o lo comprobará con más frecuencia.

Visa también ha modificado las regulaciones internas. Ahora han definido inequívocamente una lista y han prohibido la venta ilegal de medicamentos y productos protegidos por marcas registradas.



Esto ayuda a introducir multas más agresivas contra bancos y comerciantes que, de acuerdo con este sistema de pago, están involucrados en la venta ilegal de medicamentos, relojes de marcas falsificadas, etc. Repito una vez más: todavía hay mucho spam ubicado en el "área gris", y esto no es necesariamente ilegal. Es solo que los clientes deben usar ciertos trucos. Pero ahora Visa puede tener un efecto más fuerte en las personas.

Para evitar compras falsas, que se llevan a cabo no solo por investigadores de spam, sino también por redes asociadas, los spammers comenzaron a exigir escaneos de identificación de los compradores, y esto, por regla general, no es muy bueno.

Al menos unos años después de que los sistemas de pago hicieron cambios a las reglas de las transacciones, esto tuvo un impacto. Es bueno ver que este artículo ha tenido un gran impacto en la vida real.

Otra cosa interesante que se menciona en el artículo son los aspectos éticos de la realización de investigaciones de seguridad, en particular la investigación de la cadena de spam. Para comprender cómo funcionan algunos de los mecanismos bancarios, los investigadores tuvieron que realizar compras. Tuvieron que pagar un spammer por estos bienes. Los autores escriben que destruyeron todo lo que compraron sin usar nada, y hablaron con las compañías de desarrollo acerca de comprar versiones piratas de su software antes de comprarlo.



De hecho, el origen de tales cosas es de gran importancia, especialmente en el entorno universitario. Porque si desea hacer algo que incluya la investigación de la personalidad, cualquier cosa que pueda tener aspectos éticos, debe obtener el permiso de los abogados de la Comisión de Evaluación de Ética de Proyectos de Investigación del IRB y similares. Es muy importante que los investigadores se aseguren de que sus acciones no apoyarán a los atacantes en algún rincón remoto del mundo. Esta también es una parte interesante de los materiales de la conferencia, porque ya hemos discutido cuán ético es desarrollar exploits de día cero si sabes que alguien no puede solucionarlos. Así que este es un aspecto realmente interesante de la investigación de seguridad.

Audiencia: ¿Hay alguna supervisión de la ética de seguridad? Porque el artículo dice que el IRB no está interesado en esto.

Profesor: sí, fue muy interesante. , IRB , , . , , - -. , . , . , IRB , , , .

: , 350 -, 28 , , 28 , ?

: , , , . , , 5 , , .
, , , . , , , . , - , , , , – , , .

, , 35 , , , 35 2 — . .



: 350 ? , 350 -.

: . , . , , - . , , , , -.

: , , , .

: , , . , , , , hackback, « ». , - , .



, , , . , . – , , . , 2013 , Microsoft, American Express, Paypal, . , , . , Command & Control. , , , «» .

, . , Microsoft , Microsoft.

, Windows , Windows, , , Microsoft . , . .
, . , , .

, , , , , .

, , .


.

Gracias por quedarte con nosotros. ¿Te gustan nuestros artículos? ¿Quieres ver más materiales interesantes? Apóyenos haciendo un pedido o recomendándolo a sus amigos, un descuento del 30% para los usuarios de Habr en un análogo único de servidores de nivel de entrada que inventamos para usted: toda la verdad sobre VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps de $ 20 o cómo dividir el servidor? (las opciones están disponibles con RAID1 y RAID10, hasta 24 núcleos y hasta 40GB DDR4).

VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps hasta enero de forma gratuita al pagar por un período de seis meses, puede ordenar aquí .

Dell R730xd 2 veces más barato? ¡Solo tenemos 2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV desde $ 249 en los Países Bajos y los Estados Unidos! Lea sobre Cómo construir un edificio de infraestructura. clase utilizando servidores Dell R730xd E5-2650 v4 que cuestan 9,000 euros por un centavo?