Kursus MIT "Keamanan Sistem Komputer". Kuliah 23: Ekonomi Keamanan, Bagian 3

Institut Teknologi Massachusetts. Kursus Kuliah # 6.858. "Keamanan sistem komputer." Nikolai Zeldovich, James Mickens. Tahun 2014

Keamanan Sistem Komputer adalah kursus tentang pengembangan dan implementasi sistem komputer yang aman. Ceramah mencakup model ancaman, serangan yang membahayakan keamanan, dan teknik keamanan berdasarkan pada karya ilmiah baru-baru ini. Topik meliputi keamanan sistem operasi (OS), fitur, manajemen aliran informasi, keamanan bahasa, protokol jaringan, keamanan perangkat keras, dan keamanan aplikasi web.

Kuliah 1: “Pendahuluan: model ancaman” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 2: "Kontrol serangan hacker" Bagian 1 / Bagian 2 / Bagian 3
Kuliah 3: “Buffer Overflows: Exploits and Protection” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 4: “Pemisahan Hak Istimewa” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 5: "Dari mana sistem keamanan berasal?" Bagian 1 / Bagian 2
Kuliah 6: “Peluang” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 7: “Kotak Pasir Klien Asli” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 8: “Model Keamanan Jaringan” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 9: "Keamanan Aplikasi Web" Bagian 1 / Bagian 2 / Bagian 3
Kuliah 10: “Eksekusi simbolik” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 11: “Bahasa Pemrograman Web / Web” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 12: Keamanan Jaringan Bagian 1 / Bagian 2 / Bagian 3
Kuliah 13: "Protokol Jaringan" Bagian 1 / Bagian 2 / Bagian 3
Kuliah 14: "SSL dan HTTPS" Bagian 1 / Bagian 2 / Bagian 3
Kuliah 15: “Perangkat Lunak Medis” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 16: “Serangan Saluran Samping” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 17: “Otentikasi Pengguna” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 18: “Penjelajahan Pribadi di Internet” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 19: “Jaringan Anonim” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 20: "Keamanan Ponsel" Bagian 1 / Bagian 2 / Bagian 3
Kuliah 21: “Melacak Data” Bagian 1 / Bagian 2 / Bagian 3
Kuliah 22: "MIT Keamanan Informasi" Bagian 1 / Bagian 2 / Bagian 3
Kuliah 23: "Ekonomi Keamanan" Bagian 1 / Bagian 2

Artikel kuliah membahas berbagai strategi pembalasan yang dapat menghentikan spammer. Para penulis mencatat bahwa ada sejumlah pendaftar nama domain yang terbatas untuk program afiliasi. Ini berarti bahwa sebagian besar mitra terafiliasi secara individual terkait dengan pendaftar yang berurusan dengan nama domain dan infrastrukturnya. Sangat jarang ketika satu pendaftar nama domain dikaitkan dengan sekelompok program afiliasi yang berbeda.



Ini berarti bahwa tidak ada pusat umum, pencatat umum, mencolok yang dapat merusak seluruh infrastruktur spam. Pola serupa berlaku untuk hal-hal seperti server web. Jarang satu penyedia ISP memiliki banyak server web dengan banyak program afiliasi. Bisnis ini memiliki sifat terdistribusi, oleh karena itu sangat sulit untuk mengatakan bahwa jika kita “mengambil” 3 penyedia ini, maka seluruh ekosistem spam akan dihancurkan.

Oleh karena itu, sangat disayangkan bahwa tidak ada server tunggal yang bisa dipukul untuk menghentikan spamming. Nanti kita akan melihat bahwa ini mungkin bekerja dalam kaitannya dengan beberapa skema shadow banking, jadi, mungkin, kami masih berhasil memberi tekanan pada spammer.

Mari kita kembali ke tahap implementasi spam dan melihat apa yang terjadi setelah Anda, pengguna, memutuskan untuk membeli sesuatu. Tahap implementasi terdiri dari dua bagian.
Pengguna membayar barang apa pun yang ia beli atau ingin beli, dan kemudian, saya harap, ia menerima barang-barang ini baik melalui pos, seperti dalam kasus membeli obat-obatan palsu, atau unduhan dari Internet jika ia ingin menerima Photoshop bajakan atau sesuatu seperti itu.



Arus kas terlihat seperti ini. Klien menghubungi penjual dan memberi tahu dia bahwa dia ingin membeli sesuatu. Dia mengirim informasi kartu kredit, setelah itu penjual berkomunikasi dengan prosesor pembayaran. Ini adalah perantara penting yang membantu penjual, spammer, untuk memahami beberapa seluk-beluk berinteraksi dengan sistem kartu kredit. Pemroses pembayaran menghubungi bank yang melayani.

Bank layanan melakukan semua operasi yang terkait dengan penyelesaian dan pembayaran dengan kartu bank. Ia merujuk pada apa yang disebut "jaringan terkait" dalam artikel, tetapi kami akan menganggapnya hanya sebagai sistem pembayaran Visa atau MasterCard, jadi itu hanya jaringan kartu kredit.

Akhirnya, jaringan Asosiasi ini, atau jaringan kartu, berkomunikasi dengan bank penerbit. Bahkan, mereka meminta informasi apakah transaksi ini sah, yaitu, dengan persetujuan pemegang kartu. Jika demikian, uang melewati seluruh sistem ini dan pergi ke penjual. Seperti inilah aliran keuangan operasi ujung ke ujung. Alur kerja ini dapat menangani banyak uang. Salah satu artikel yang disebutkan dalam materi kuliah mengatakan bahwa satu mitra dapat menerima lebih dari $ 10 juta dolar sebagai hasil dari kesepakatan semacam itu. Muncul pertanyaan, mengapa bank yang mengakuisisi atau bank yang menerbitkan tidak akan melaporkan bahwa ada sesuatu yang salah di sini? Ternyata, dalam banyak kasus mereka benar-benar tidak melaporkan apa pun.



Saya bertanya-tanya mengapa sistem keuangan toleran terhadap proses seperti itu. Misalnya, mengapa spammer dengan benar mengklasifikasikan penawaran mereka? Ketika Anda ingin mengirim sesuatu melalui sistem ini, Anda harus menunjukkan dengan benar jenis transaksi yang dilakukan, yang menunjukkan bahwa Anda menjual obat-obatan, perangkat lunak, apa pun, itu tidak masalah. Dapat diasumsikan bahwa seorang spammer yang menjual vitamin palsu tidak ingin menunjukkan bahwa ia terlibat dalam bisnis farmasi. Namun, menarik bahwa dalam banyak kasus spammer mengklasifikasikan transaksi dengan benar. Alasannya adalah bahwa penalti tinggi dapat diberikan untuk klasifikasi yang salah.

Oleh karena itu, jaringan terkait seperti Visa atau Mastercard percaya bahwa dengan transaksi semacam itu semuanya teratur, meskipun terlihat sedikit mencurigakan. Tetapi mereka tidak ingin didakwa dengan pencucian uang atau berusaha menipu pihak berwenang. Selama Anda benar mengklasifikasikan apa yang Anda lakukan, maka dalam arti tertentu Anda membela diri. Karena Anda selalu dapat memberi tahu pihak berwenang bahwa Anda tidak sedikit memahami hukum, tetapi setidaknya Anda tidak berusaha menyembunyikan tujuan transaksi ini. Dengan demikian, seringkali spammer mengklasifikasikan transaksi mereka dengan benar, yaitu mereka bermain dengan ukuran tertentu di dalam sistem.

Pertanyaan lain yang saya sebutkan sebelumnya adalah mengapa spammer mengirim sesuatu ke pelanggan? Seharusnya, jika Anda seorang spammer, maka Anda adalah seorang penjahat, kan? Jadi mengapa tidak mengumpulkan uang dari orang-orang dan tidak melarikan diri dengan mereka? Ternyata mereka benar-benar mengirim barang ke pelanggan karena mereka tidak ingin mengalami denda tinggi. Ini adalah sistem yang sangat menarik di mana spammer ingin melakukan sesuatu secara legal, dan sementara mereka masih tidak dapat menggunakan bitcoin, pada kenyataannya, mereka harus bekerja dalam keterbatasan sistem yang ada.

Denda tinggi juga diberikan jika spammer memiliki banyak tolak bayar. Pengembalian beban berarti bahwa klien memberi tahu perusahaan keuangan bahwa ia belum menerima barang yang dibayar atau kualitas barang yang diterima tidak cocok untuknya. Karena itu, jika seorang spammer memiliki terlalu banyak pelanggan yang membutuhkan pengembalian dana, ia akan dikenakan denda yang sangat, sangat tinggi. Karena itu, persentase tolak bayar dalam transaksi spam cukup kecil. Faktanya adalah bahwa tingkat konversi keuntungan mereka sangat rendah, sehingga bahkan satu atau dua denda dapat menghancurkan seluruh keuntungan bulanan. Jadi spammer benar-benar tertarik menghindari denda dalam kedua kasus di atas.



Pemirsa: Apakah menggunakan PayPal berkontribusi pada hubungan yang lebih tersembunyi dengan bank?

Profesor: ya dan tidak. PayPal dalam banyak hal sangat mirip dengan Visa atau MasterCard. Kegiatannya diatur oleh aturan yang sama, karena sistem pembayaran ini memiliki jenis risiko yang sama. Saya pikir untuk beberapa hal Visa memiliki batasan yang lebih ketat, yang akan kita bicarakan sebentar lagi. Tetapi sebagai sistem pembayaran, Paypal memiliki tujuan yang sama.

Audiens: Apakah ada ide untuk mengatur grup tempat Anda membuat akun, dan kemudian dengan sengaja pergi ke situs web spammer, membeli banyak barang, dan kemudian mengatur tolak bayar untuk memulihkan denda darinya? Atau apakah Anda melaporkan bahwa pengirim spam salah mengklasifikasikan penawaran yang akan didenda?

Profesor: ide yang menarik, sama seperti penerima pinjaman!

Pemirsa: Ya, ya, spammer spam.

Profesor: ya, itu benar, tetapi saya belum pernah mendengarnya. Saya tahu bahwa spammer berusaha menemukan orang yang menangkap mereka. Artikel tersebut menyatakan bagaimana penulis mengidentifikasi spammer. Mereka menerima banyak pesan spam, melalui banyak tautan, mengeluarkan kartu Visa khusus, yang mereka gunakan untuk membeli barang-barang ini, dan sebagainya. Mereka menyebutnya "tes pembelian." Namun, spammer berusaha mencegah pembelian tes dari orang-orang yang mencoba mencari tahu apa yang terjadi. Karena itu, beberapa spammer mengharuskan Anda memverifikasi identitas Anda sebelum menjual sesuatu. Mereka mungkin meminta Anda untuk mengirim foto ID atau sesuatu seperti itu. Beberapa orang mulai melakukan ini setelah Visa memperketat aturan spam. Sekarang spammer mengalami masalah karena orang yang mengklik tautan spam tidak ingin mengirim pemindaian ID mereka kepada orang acak. Artikel tersebut berisi kutipan dari korespondensi spammer di forum, di mana mereka mengeluh bahwa Visa mendapatkannya - mereka dipaksa untuk meminta orang mengirimi mereka konfirmasi identitas, tetapi mereka tidak ingin melakukan ini. Sungguh aneh bahwa orang takut mengirim scan dokumen kepada spammer, tetapi mereka tidak takut memberi mereka nomor kartu kredit mereka. Bagaimanapun, spammer tertarik untuk menemukan orang tepat waktu yang mencoba membawa mereka ke air bersih.

Pemirsa: berkenaan dengan tolak bayar - apakah mungkin jika orang tidak ingin bank mereka tahu bahwa mereka membeli barang ilegal, maka mereka akan malu untuk meminta pengembalian dana bahkan jika mereka belum menerima barang?

Profesor: pertanyaan yang bagus. Saya tidak tahu berapa banyak orang yang membeli semua jenis suplemen makanan kecewa oleh mereka dan melaporkan ini ke bank mereka. Sangat menarik bahwa bank pertama-tama harus tahu ke mana uang itu dikirim, tetapi saya pikir Anda tidak perlu mengungkapkan informasi tambahan tentang transaksi tersebut untuk mengeluarkan pengembalian dana.

Audiens: Berapa kira-kira persentase tolak bayar yang menyebabkan spammer khawatir?

Profesor: mereka menyebut angka urutan 1% dari semua transaksi. Dengan kata lain, jika Anda adalah seorang spammer dan Anda memiliki lebih dari 1% transaksi yang memerlukan tolak bayar, ini merupakan alasan yang perlu diperhatikan. Saya tidak akan terkejut dengan angka yang lebih rendah, tetapi saya mendengar sekitar satu persen.

Seperti yang saya katakan, bagi saya itu adalah salah satu bagian paling menarik dari artikel ini, karena saya selalu percaya bahwa properti wajib spam adalah penipuan terbuka. Artinya, orang mengikuti tautan, mengirim uang dan tidak menerima apa pun. Tetapi ternyata, spammer harus melalui seluruh jaringan ini, yang memiliki mekanisme untuk mencegah penipuan, dan pada akhirnya mereka terpaksa mengirim barang ke pelanggan.

Alasan lain mengapa spammer lebih suka bertindak hati-hati, mengklasifikasikan transaksi dengan benar, dan benar-benar mengirim barang kepada pelanggan, adalah karena hanya sedikit bank yang mau bekerja sama dengan spammer. Ini berarti bahwa jika seorang spammer menerima banyak tolak bayar, atau menciptakan masalah dengan operasi perbankan dan kartu kredit, maka beberapa bank dapat memutuskan hubungan dengannya. Pada saat yang sama, tidak banyak bank lain yang setuju untuk bertemu dengan spammer sehingga dia terus berurusan dengan "lelucon" nya.

Studi tentang topik ini telah menunjukkan bahwa hanya ada sekitar 30 bank yang memperoleh layanan yang spammer telah digunakan selama lebih dari dua tahun. Faktanya, ini adalah jumlah bank yang sangat kecil. Jadi kekurangan bank berfungsi sebagai insentif untuk tidak bermain-main dengan sistem keuangan, karena spammer tidak akan memiliki siapa pun untuk dihubungi jika dia merusak kemitraan yang sudah ada.
Dengan demikian, tampaknya bahwa kepatuhan terhadap aturan keuangan yang ketat dapat mengurangi spam. Kami membahas bahwa hal-hal seperti botnet menyediakan banyak alamat IP kepada spammer, ada cukup penyedia yang siap menjalankan server web untuk mereka, dan sebagainya, tetapi jumlah bank yang melayani sebenarnya tampak kecil. Jadi mungkin kita benar-benar dapat menyerang spam di sini.

Tapi, seperti yang sudah saya katakan, ini sulit dilakukan karena sulit untuk membuktikan fakta ilegalitas kegiatan spamming. Misalnya, jika Anda menggunakan pesan spam untuk menjual, katakanlah, gula, tidak ada yang ilegal karena menjual gula tidak melanggar hukum apa pun. Entah bagaimana Anda bisa menipu pembeli dalam proses penjualan, tetapi menjual gula itu sendiri bukanlah kegiatan ilegal.



Ternyata, banyak spam jatuh ke "wilayah abu-abu" ini, tempat hal-hal yang dilakukan spammer tidak menyenangkan, tetapi tidak perlu melanggar hukum. Untuk hal-hal seperti perangkat lunak bajakan, undang-undang lebih jelas menguraikan aturan hukum. Namun, Anda tidak bisa hanya menunjuk ke salah satu bank ini dan mengatakan "halo, pelanggan Anda adalah penjahat!" Karena ini tidak selalu benar, terutama jika tidak ada bukti kertas yang jelas yang menghubungkan transaksi keuangan dengan URL spammer, yang adalah sumber dari asal transaksi ini. Seringkali sangat sulit untuk membuktikan koneksi tautan ini dalam rantai distribusi spam.

Sejak artikel yang kami pertimbangkan diterbitkan, industri kartu kredit telah mengambil tindakan pembalasan karena artikel ini membuat percikan pada saat peluncurannya. Setelah ini, asosiasi sistem pembayaran Visa dan MasterCard bertanya-tanya apa yang bisa mereka lakukan untuk memotong beberapa spam. Menariknya, setelah publikasi artikel, beberapa perusahaan farmasi dan vendor perangkat lunak mengajukan keluhan dengan Visa.

Jika Anda ingat dari artikel itu, Visa adalah jaringan terkait tempat peneliti spam melakukan pengujian atau pembelian fiktif, sehingga beberapa perusahaan menganggap Visa digunakan sebagai sistem untuk membiayai spammer dan memutuskan untuk mengeluh tentang hal itu.

Menanggapi keluhan ini, Visa membuat beberapa perubahan pada kebijakan pembayarannya. Sebagai contoh, sekarang semua transaksi dengan produk farmasi Visa menandai sebagai penjualan berisiko tinggi. Ini berarti bahwa jika bank bertindak sebagai pengakuisisi untuk transaksi ini, Visa akan menetapkan persyaratan transaksi yang lebih ketat untuk itu, misalnya, mengharuskan bank untuk berpartisipasi dalam program manajemen risiko atau akan memeriksanya lebih sering.

Visa juga telah mengubah peraturan internal. Sekarang mereka secara jelas mendefinisikan daftar dan melarang penjualan obat-obatan dan barang ilegal yang dilindungi oleh merek dagang terdaftar.



Ini membantu memperkenalkan denda yang lebih agresif terhadap bank dan pedagang, yang, menurut sistem pembayaran ini, terlibat dalam penjualan obat-obatan secara ilegal, jam tangan merek-merek palsu dan sebagainya. Saya ulangi sekali lagi - masih ada banyak spam yang terletak di "wilayah abu-abu", dan ini belum tentu ilegal. Hanya saja pelanggan diharuskan menggunakan trik tertentu. Tetapi sekarang Visa dapat memiliki efek yang lebih kuat pada orang.

Untuk menghindari pembelian palsu, yang dilakukan tidak hanya oleh peneliti spam, tetapi juga oleh jaringan terkait, spammer mulai menuntut scan identifikasi dari pembeli, dan ini, sebagai suatu peraturan, tidak terlalu baik.

Setidaknya beberapa tahun setelah sistem pembayaran membuat perubahan pada aturan transaksi, ini berdampak. Adalah baik untuk melihat bahwa artikel ini memiliki dampak besar pada kehidupan nyata.

Hal menarik lainnya yang disebutkan dalam artikel ini adalah aspek etis dalam melakukan penelitian keamanan, khususnya penelitian rantai spam. Untuk memahami bagaimana beberapa mekanisme perbankan bekerja, para peneliti sebenarnya harus melakukan pembelian. Mereka harus membayar spammer untuk barang-barang ini. Para penulis menulis bahwa mereka menghancurkan semua yang mereka beli tanpa menggunakan apa pun, dan berbicara dengan perusahaan pengembangan tentang membeli versi bajakan dari perangkat lunak mereka sebelum membelinya.



Sebenarnya, asal usul hal-hal seperti itu sangat penting, terutama di lingkungan universitas. Karena jika Anda ingin melakukan sesuatu yang mencakup penelitian kepribadian, apa pun yang dapat memiliki aspek etika, Anda perlu mendapatkan izin dari pengacara dari Komisi Penilaian Etika Proyek Penelitian IRB dan sejenisnya. Sangat penting bagi para peneliti untuk memastikan bahwa tindakan mereka tidak akan mendukung penyerang di beberapa sudut dunia. Ini juga merupakan bagian yang menarik dari materi kuliah, karena kita telah membahas bagaimana etisnya mengembangkan eksploitasi nol hari jika Anda tahu bahwa itu tidak dapat diperbaiki oleh seseorang? Jadi ini adalah aspek yang sangat menarik dari riset keamanan.

Hadirin: Apakah ada pengawasan etika keselamatan? Karena artikel itu mengatakan bahwa IRB tidak tertarik dengan ini.

Profesor: ya, itu sangat menarik. , IRB , , . , , - -. , . , . , IRB , , , .

: , 350 -, 28 , , 28 , ?

: , , , . , , 5 , , .
, , , . , , , . , - , , , , – , , .

, , 35 , , , 35 2 — . .



: 350 ? , 350 -.

: . , . , , - . , , , , -.

: , , , .

: , , . , , , , hackback, « ». , - , .



, , , . , . – , , . , 2013 , Microsoft, American Express, Paypal, . , , . , Command & Control. , , , «» .

, . , Microsoft , Microsoft.

, Windows , Windows, , , Microsoft . , . .
, . , , .

, , , , , .

, , .


.

Terima kasih telah tinggal bersama kami. Apakah Anda suka artikel kami? Ingin melihat materi yang lebih menarik? Dukung kami dengan melakukan pemesanan atau merekomendasikannya kepada teman-teman Anda, diskon 30% untuk pengguna Habr pada analog unik dari server entry-level yang kami temukan untuk Anda: Seluruh kebenaran tentang VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps dari $ 20 atau bagaimana membagi server? (opsi tersedia dengan RAID1 dan RAID10, hingga 24 core dan hingga 40GB DDR4).

VPS (KVM) E5-2650 v4 (6 Cores) 10GB DDR4 240GB SSD 1Gbps hingga Januari secara gratis ketika membayar untuk jangka waktu enam bulan, Anda dapat memesan di sini .

Dell R730xd 2 kali lebih murah? Hanya kami yang memiliki 2 x Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TV dari $ 249 di Belanda dan Amerika Serikat! Baca tentang Cara Membangun Infrastruktur kelas menggunakan server Dell R730xd E5-2650 v4 seharga 9.000 euro untuk satu sen?