Institut de technologie du Massachusetts. Cours magistral # 6.858. "Sécurité des systèmes informatiques." Nikolai Zeldovich, James Mickens. 2014 année
Computer Systems Security est un cours sur le développement et la mise en œuvre de systèmes informatiques sécurisés. Les conférences couvrent les modèles de menace, les attaques qui compromettent la sécurité et les techniques de sécurité basées sur des travaux scientifiques récents. Les sujets incluent la sécurité du système d'exploitation (OS), les fonctionnalités, la gestion du flux d'informations, la sécurité des langues, les protocoles réseau, la sécurité matérielle et la sécurité des applications Web.
Cours 1: «Introduction: modèles de menace»
Partie 1 /
Partie 2 /
Partie 3Conférence 2: «Contrôle des attaques de pirates»
Partie 1 /
Partie 2 /
Partie 3Conférence 3: «Débordements de tampon: exploits et protection»
Partie 1 /
Partie 2 /
Partie 3Conférence 4: «Séparation des privilèges»
Partie 1 /
Partie 2 /
Partie 3Conférence 5: «D'où viennent les systèmes de sécurité?»
Partie 1 /
Partie 2Conférence 6: «Opportunités»
Partie 1 /
Partie 2 /
Partie 3Conférence 7: «Native Client Sandbox»
Partie 1 /
Partie 2 /
Partie 3Conférence 8: «Modèle de sécurité réseau»
Partie 1 /
Partie 2 /
Partie 3Conférence 9: «Sécurité des applications Web»,
partie 1 /
partie 2 /
partie 3Conférence 10: «Exécution symbolique»
Partie 1 /
Partie 2 /
Partie 3Conférence 11: «Ur / Web Programming Language»
Partie 1 /
Partie 2 /
Partie 3Conférence 12: Sécurité du réseau,
partie 1 /
partie 2 /
partie 3Conférence 13: «Protocoles réseau»,
partie 1 /
partie 2 /
partie 3Conférence 14: «SSL et HTTPS»
Partie 1 /
Partie 2 /
Partie 3Conférence 15: «Logiciel médical»
Partie 1 /
Partie 2 /
Partie 3Conférence 16: «Side Channel Attacks»
Partie 1 /
Partie 2 /
Partie 3Conférence 17: «Authentification des utilisateurs»,
partie 1 /
partie 2 /
partie 3Conférence 18: «Navigation privée sur Internet»
Partie 1 /
Partie 2 /
Partie 3Conférence 19: «Réseaux anonymes»
Partie 1 /
Partie 2 /
Partie 3Conférence 20: «Sécurité des téléphones portables»
Partie 1 /
Partie 2 /
Partie 3Conférence 21: «Suivi des données»
Partie 1 /
Partie 2 /
Partie 3 Conférence 22: «Information Security MIT»
Partie 1 /
Partie 2 /
Partie 3Conférence 23: «Économie de la sécurité»,
partie 1 /
partie 2L'article de la conférence traite de diverses stratégies de représailles qui peuvent arrêter un spammeur. Les auteurs ont noté qu'il existe un nombre limité de bureaux d'enregistrement de noms de domaine pour les programmes d'affiliation. Cela signifie que la plupart des partenaires affiliés sont individuellement associés à un bureau d'enregistrement qui gère leurs noms de domaine et leur infrastructure. Il est très rare qu'un seul registraire de nom de domaine soit associé à plusieurs programmes d'affiliation différents.
Cela signifie qu'il n'y a pas de centre commun, de bureau d'enregistrement commun, ce qui pourrait endommager l'ensemble de l'infrastructure de spam. Un modèle similaire s'applique à des choses comme les serveurs Web. Il est rare qu'un fournisseur de services Internet possède un tas de serveurs Web avec un tas de programmes d'affiliation. Cette entreprise est de nature distribuée, il est donc très difficile de dire que si nous «prenons» ces 3 fournisseurs, tout l'écosystème du spam sera détruit.
Par conséquent, il est dommage qu'aucun serveur ne puisse être touché pour arrêter le spam. Plus tard, nous verrons que cela peut fonctionner en relation avec certains schémas bancaires parallèles, donc, peut-être, nous parvenons toujours à faire pression sur le spammeur.
Revenons à l'étape de la mise en œuvre du spam et voyons ce qui se passe après que vous, l'utilisateur, décidez d'acheter quelque chose. La phase de mise en œuvre se compose de deux parties.
L'utilisateur paie tous les biens qu'il achète ou souhaite acheter, puis, j'espère, il les reçoit soit par courrier, comme dans le cas de l'achat de faux médicaments, soit par téléchargement sur Internet s'il souhaite recevoir Photoshop piraté ou quelque chose comme ça.
Le flux de trésorerie ressemble à ceci. Le client contacte le vendeur et lui dit qu'il veut acheter quelque chose. Il envoie des informations de carte de crédit, après quoi le vendeur communique avec le processeur de paiement Processeur de paiement. Il s'agit d'un intermédiaire important qui aide le vendeur, le spammeur, à comprendre certaines des subtilités de l'interaction avec le système de carte de crédit. Le processeur de paiement contacte la banque de service.
La banque de service effectue toutes les opérations liées aux règlements et aux paiements par cartes bancaires. Il fait référence à ce qu'on appelle un «réseau associé» dans l'article, mais nous le considérerons simplement comme un système de paiement Visa ou MasterCard, donc c'est juste un réseau de cartes de crédit.
Enfin, ces réseaux d'association, ou réseaux de cartes, communiquent avec la banque émettrice de l'acheteur. En fait, ils demandent des informations pour savoir si cette transaction est légale, c'est-à-dire avec le consentement du titulaire de la carte. Si c'est le cas, l'argent passe par tout ce système et va au vendeur. Voilà à quoi ressemble le flux financier de bout en bout des opérations. Ce flux de travail peut gérer beaucoup d'argent. L'un des articles mentionnés dans le matériel de conférence dit qu'un partenaire peut recevoir plus de 10 millions de dollars à la suite d'un tel accord. La question se pose, pourquoi la banque acquéreuse ou la banque émettrice ne signalera pas que quelque chose ne va pas ici? En fait, dans de nombreux cas, ils ne signalent vraiment rien.
Je me demande pourquoi le système financier tolère de tels processus. Par exemple, pourquoi les spammeurs classent-ils correctement leurs offres? Lorsque vous souhaitez envoyer quelque chose via ce système, vous devez indiquer correctement le type de transaction en cours, indiquant que vous vendez des produits pharmaceutiques, des logiciels, peu importe, peu importe. On peut supposer qu'un spammeur qui vend de fausses vitamines ne veut pas indiquer qu'il est engagé dans le secteur pharmaceutique. Cependant, il est intéressant de noter que dans la plupart des cas, les spammeurs classent correctement les transactions. La raison en est qu'une pénalité élevée peut être accordée pour un classement incorrect.
Par conséquent, les réseaux associés tels que Visa ou Mastercard pensent qu'avec de telles transactions, tout est en ordre, même s'ils semblent un peu suspects. Mais ils ne veulent pas être accusés de blanchiment d'argent ou de tentative de tromper les autorités. Tant que vous classifiez correctement ce que vous faites, dans un certain sens, vous vous défendez. Parce que vous pouvez toujours dire aux autorités que vous n'avez pas un peu compris la loi, mais au moins vous n'avez pas cherché à cacher le but de cette transaction. Ainsi, les spammeurs classent souvent correctement leurs transactions, c'est-à-dire qu'ils jouent avec une certaine mesure au sein du système.
Une autre question que j'ai mentionnée plus tôt est la suivante: pourquoi un spammeur enverrait-il quoi que ce soit aux clients? Soi-disant, si vous êtes un spammeur, alors vous êtes un criminel, non? Alors pourquoi ne pas simplement collecter de l'argent auprès des gens et ne pas s'enfuir avec eux? Il s'avère qu'ils envoient des choses aux clients parce qu'ils ne veulent pas s'exposer à des amendes élevées. Il s'agit d'un système très intéressant dans lequel les spammeurs veulent faire quelque chose légalement, et bien qu'ils ne puissent toujours pas utiliser de bitcoins, en fait, ils doivent travailler dans les limites d'un système existant.
Des amendes élevées sont également accordées si le spammeur a de nombreux débits compensatoires. Une rétrofacturation signifie que le client informe la société financière qu'il n'a pas reçu les biens payés ou que la qualité des biens reçus ne lui convient pas. Par conséquent, si un spammeur a trop de clients nécessitant un remboursement, des amendes très, très élevées lui seront facturées. Par conséquent, le pourcentage de refacturations dans les transactions de spam est assez faible. Le fait est que les taux de conversion de leurs bénéfices sont super bas, donc même une ou deux amendes peuvent détruire la totalité du bénéfice mensuel. Les spammeurs sont donc vraiment intéressés à éviter les amendes dans les deux cas ci-dessus.
Public: L'utilisation de PayPal contribue-t
- elle à une relation plus cachée avec la banque?
Professeur: oui et non. PayPal est à bien des égards très similaire à Visa ou MasterCard. Ses activités sont réglementées par des règles similaires, car ces systèmes de paiement présentent les mêmes types de risques. Je pense que pour certaines choses, Visa a des restrictions plus strictes, dont nous parlerons dans une seconde. Mais en tant que système de paiement, Paypal a des objectifs similaires.
Public: Y a
- t-il une idée d'organiser un groupe dans lequel vous créez un compte, puis allez délibérément sur le site Web du spammeur, achetez un tas de choses, puis organisez des rétrofacturations pour récupérer une amende de sa part? Ou signalez-vous que les spammeurs classent de manière incorrecte les transactions à payer?
Professeur: idée intéressante, tout comme les justiciers!
Public: Eh bien, oui, les spammeurs spamment.
Professeur: oui, c'est vrai, mais je n'en ai jamais entendu parler. Je sais que les spammeurs essaient de trouver des gens qui les traînent. L'article indique comment les auteurs ont identifié les spammeurs. Ils ont reçu un tas de messages de spam, sont passés par un tas de liens, ont émis une carte Visa spéciale, qu'ils ont utilisée pour acheter ces choses, etc. Ils appellent cela des «achats tests». Cependant, les spammeurs cherchent à empêcher les achats de test de personnes qui essaient de comprendre ce qui se passe. Par conséquent, certains spammeurs vous demandent de vérifier votre identité avant de vendre quelque chose. Ils peuvent vous demander d'envoyer une photo d'identité ou quelque chose comme ça. Certaines personnes ont commencé à le faire après que Visa ait resserré les règles de spam. Les spammeurs ont maintenant des problèmes parce que les personnes qui cliquent sur les liens de spam ne veulent pas envoyer une analyse de leur identité à une personne aléatoire. L'article contient des extraits de la correspondance de spammeurs sur le forum, où ils se plaignent que Visa les a obtenus - ils sont obligés de demander aux gens de leur envoyer une confirmation d'identité, mais ils ne veulent pas le faire. Il est étrange que les gens aient peur d'envoyer des scans de documents aux spammeurs, mais ils n'ont pas peur de leur donner leur numéro de carte de crédit. Dans tous les cas, les spammeurs souhaitent trouver des personnes à temps pour les amener à l'eau potable.
Public: en ce qui concerne les débits compensatoires - est-il possible que si les gens ne veulent pas que leur banque sache qu'ils achètent des choses illégales, ils sont gênés de demander un remboursement même s'ils n'ont pas reçu les marchandises?
Professeur: bonne question. Je ne sais pas combien de personnes qui ont acheté toutes sortes de compléments alimentaires en ont été déçues et l'ont signalé à leur banque. Il est intéressant que la banque sache tout d'abord où l'argent est envoyé, mais je pense que vous n'avez pas besoin de lui divulguer des informations supplémentaires sur la transaction pour effectuer un remboursement.
Auditoire: quel pourcentage approximatif des débits compensatoires inquiète un spammeur?
Professeur: ils appellent des chiffres de l'ordre de 1% de toutes les transactions. En d'autres termes, si vous êtes un spammeur et que plus de 1% des transactions nécessitent une rétrofacturation, cela est préoccupant. Je ne serais pas surpris des chiffres plus bas, mais j'ai entendu environ un pour cent.
Comme je l'ai dit, pour moi, c'était l'une des parties les plus intéressantes de l'article, car j'ai toujours cru que la propriété obligatoire du spam était la fraude ouverte. Autrement dit, les gens ont suivi les liens, envoyé de l'argent et n'ont rien reçu. Mais il s'est avéré que les spammeurs doivent passer par l'ensemble de ce réseau, qui dispose de mécanismes pour prévenir la fraude, et finalement ils sont obligés d'envoyer des choses aux clients.
Une autre raison pour laquelle les spammeurs préfèrent agir avec prudence, classer correctement les transactions et réellement envoyer des choses aux clients, est que seules quelques banques sont prêtes à coopérer avec les spammeurs. Cela signifie que si un spammeur reçoit de nombreux débits compensatoires ou crée des problèmes avec les opérations bancaires et les cartes de crédit, une banque peut rompre ses relations avec lui. Dans le même temps, il n'y a pas beaucoup d'autres banques qui acceptent de rencontrer le spammeur pour qu'il continue à faire face à ses «farces».
Des études sur ce sujet ont montré qu'il n'y a qu'une trentaine de banques acquéreuses dont les spammeurs utilisent les services depuis plus de deux ans. En fait, il s'agit d'un très petit nombre de banques. Ainsi, la pénurie de banques incite à ne pas jouer avec le système financier, car le spammeur n'aura tout simplement personne à contacter s'il rompt les partenariats établis.
Ainsi, il semble que le fait d'exiger le strict respect des règles financières peut réduire le spam. Nous avons discuté du fait que des choses comme un botnet fournissent aux spammeurs de nombreuses adresses IP, il y a suffisamment de fournisseurs qui sont prêts à exécuter des serveurs Web pour eux, et ainsi de suite, mais le nombre de banques en service semble en fait faible. Alors peut-être que nous pouvons vraiment attaquer le spam ici.
Mais, comme je l'ai déjà dit, cela est difficile à faire en raison du fait qu'il est difficile de prouver le fait de l'illégalité de l'activité de spam. Par exemple, si vous utilisez des messages de spam pour vendre, disons, du sucre, il n'y a rien d'illégal car la vente de sucre ne viole aucune loi. Vous pouvez en quelque sorte tromper l'acheteur dans le processus de vente, mais la vente de sucre en soi n'est pas une activité illégale.
Il se trouve que beaucoup de spams tombent dans cette «zone grise», où les activités des spammeurs peuvent être désagréables, mais il n’est pas nécessaire d’enfreindre la loi. Pour des choses comme les logiciels piratés, la législation définit plus clairement l'état de droit. Cependant, vous ne pouvez pas simplement pointer vers l'une de ces banques et dire "bonjour, vos clients sont des criminels!" Parce que ce n'est pas toujours vrai, surtout s'il n'y a pas de preuve papier claire qui relie la transaction financière à l'URL du spammeur, qui est la source de l'origine de cette transaction. Il est souvent très difficile de prouver la connexion de ces liens dans la chaîne de distribution du spam.
Depuis que l'article que nous envisagions a été publié, l'industrie des cartes de crédit a pris des mesures de rétorsion, car cet article a fait sensation au moment de sa publication. Après cela, les associations de systèmes de paiement Visa et MasterCard se sont demandé ce qu'elles pouvaient faire pour éliminer une partie du spam. Fait intéressant, après la publication de l'article, certaines sociétés pharmaceutiques et fournisseurs de logiciels ont déposé des plaintes auprès de Visa.
Si vous vous souvenez de l'article, Visa était un réseau associé à travers lequel les chercheurs de spam effectuaient des tests ou des achats fictifs.Certaines entreprises ont donc pensé que Visa pouvait être utilisé comme un système de financement des spammeurs et ont décidé de s'en plaindre.
En réponse à ces plaintes, Visa a apporté quelques modifications à sa politique de paiement. Par exemple, toutes les transactions avec des produits pharmaceutiques Visa sont désormais considérées comme des ventes à haut risque. Cela signifie que si la banque agit en tant qu'acquéreur pour ces transactions, Visa établira des conditions de transaction plus strictes pour elle, par exemple, exigera de la banque qu'elle participe au programme de gestion des risques ou le vérifiera plus souvent.
Visa a également modifié le règlement intérieur. Maintenant, ils ont défini sans ambiguïté une liste et ont interdit la vente illégale de médicaments et de produits protégés par des marques déposées.
Cela permet d'introduire des amendes plus agressives contre les banques et les commerçants qui, selon ce système de paiement, sont impliqués dans la vente illégale de médicaments, de montres de marques contrefaites, etc. Je répète encore une fois - il y a encore beaucoup de spam dans la "zone grise", et ce n'est pas forcément illégal. C'est juste que les clients sont tenus d'utiliser certaines astuces. Mais maintenant, Visa peut avoir un effet plus fort sur les gens.
Pour éviter les faux achats, qui sont effectués non seulement par des chercheurs sur le spam, mais également par des réseaux associés, les spammeurs ont commencé à exiger des scans d'identification des acheteurs, ce qui, en règle générale, n'est pas très bon.
Au moins quelques années après que les systèmes de paiement ont modifié les règles des transactions, cela a eu un impact. Il est bon de voir que cet article a eu un grand impact sur la vie réelle.
Une autre chose intéressante qui est mentionnée dans l'article est les aspects éthiques de la recherche sur la sécurité, en particulier la recherche sur la chaîne de spam. Pour comprendre le fonctionnement de certains mécanismes bancaires, les chercheurs ont dû effectuer des achats. Ils ont dû payer un spammeur pour ces marchandises. Les auteurs écrivent qu'ils ont détruit tout ce qu'ils ont acheté sans rien utiliser, et ont discuté avec des sociétés de développement de l'achat de versions piratées de leur logiciel avant de l'acheter.
En fait, l'origine de ces choses est d'une grande importance, en particulier dans le milieu universitaire. Parce que si vous voulez faire quelque chose qui inclut la recherche sur la personnalité, tout ce qui peut avoir des aspects éthiques, vous devez obtenir la permission des avocats de la Commission de révision éthique des projets de recherche de la CISR, etc. Pour les chercheurs, il est très important de s'assurer que leurs actions ne soutiendront pas les attaquants dans certains coins reculés du monde. C'est également une partie intéressante du matériel de cours, car nous avons déjà discuté de l'éthique de développer des exploits zero-day si vous savez qu'ils ne peuvent pas être corrigés par quelqu'un? C'est donc un aspect vraiment intéressant de la recherche sur la sécurité.
Public: Existe
- t-il une surveillance de l'éthique de la sécurité? Parce que l'article dit que la CISR n'est pas intéressée par cela.
Professeur: oui, c'était très intéressant. , IRB , , . , , - -. , . , . , IRB , , , .
: , 350 -, 28 , , 28 , ?
: , , , . , , 5 , , .
, , , . , , , . , - , , , , – , , .
, , 35 , , , 35 2 — . .
: 350 ? , 350 -.
: . , . , , - . , , , , -.
: , , , .
: , , . , , , , hackback, « ». , - , .
, , , . , . – , , . , 2013 , Microsoft, American Express, Paypal, . , , . , Command & Control. , , , «» .
, . , Microsoft , Microsoft.
, Windows , Windows, , , Microsoft . , . .
, . , , .
, , , , , .
, , .
.
Merci de rester avec nous. Aimez-vous nos articles? Vous voulez voir des matériaux plus intéressants? Soutenez-nous en passant une commande ou en le recommandant à vos amis, une
réduction de 30% pour les utilisateurs Habr sur un analogue unique de serveurs d'entrée de gamme que nous avons inventés pour vous: Toute la vérité sur VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbps à partir de 20 $ ou comment diviser le serveur? (les options sont disponibles avec RAID1 et RAID10, jusqu'à 24 cœurs et jusqu'à 40 Go de DDR4).
VPS (KVM) E5-2650 v4 (6 cœurs) 10 Go DDR4 240 Go SSD 1 Gbit / s jusqu'en janvier gratuitement en payant pour une période de six mois, vous pouvez commander
ici .
Dell R730xd 2 fois moins cher? Nous avons seulement
2 x Intel Dodeca-Core Xeon E5-2650v4 128 Go DDR4 6x480 Go SSD 1 Gbps 100 TV à partir de 249 $ aux Pays-Bas et aux États-Unis! Pour en savoir plus sur la
création d'un bâtiment d'infrastructure. classe utilisant des serveurs Dell R730xd E5-2650 v4 coûtant 9 000 euros pour un sou?