Instituto de Tecnologia de Massachusetts. Curso de Aula nº 6.858. "Segurança de sistemas de computador". Nikolai Zeldovich, James Mickens. 2014 ano
Computer Systems Security é um curso sobre o desenvolvimento e implementação de sistemas de computador seguros. As palestras abrangem modelos de ameaças, ataques que comprometem a segurança e técnicas de segurança baseadas em trabalhos científicos recentes. Os tópicos incluem segurança do sistema operacional (SO), recursos, gerenciamento de fluxo de informações, segurança de idiomas, protocolos de rede, segurança de hardware e segurança de aplicativos da web.
Palestra 1: “Introdução: modelos de ameaças”
Parte 1 /
Parte 2 /
Parte 3Palestra 2: “Controle de ataques de hackers”
Parte 1 /
Parte 2 /
Parte 3Aula 3: “Estouros de Buffer: Explorações e Proteção”
Parte 1 /
Parte 2 /
Parte 3Palestra 4: “Separação de Privilégios”
Parte 1 /
Parte 2 /
Parte 3Palestra 5: “De onde vêm os sistemas de segurança?”
Parte 1 /
Parte 2Palestra 6: “Oportunidades”
Parte 1 /
Parte 2 /
Parte 3Palestra 7: “Sandbox do Cliente Nativo”
Parte 1 /
Parte 2 /
Parte 3Aula 8: “Modelo de Segurança de Rede”
Parte 1 /
Parte 2 /
Parte 3Aula 9: “Segurança de aplicativos da Web”
Parte 1 /
Parte 2 /
Parte 3Palestra 10: “Execução Simbólica”
Parte 1 /
Parte 2 /
Parte 3Aula 11: “Linguagem de Programação Ur / Web”
Parte 1 /
Parte 2 /
Parte 3Aula 12: Segurança de rede
Parte 1 /
Parte 2 /
Parte 3Aula 13: “Protocolos de Rede”
Parte 1 /
Parte 2 /
Parte 3Palestra 14: “SSL e HTTPS”
Parte 1 /
Parte 2 /
Parte 3Palestra 15: “Software Médico”
Parte 1 /
Parte 2 /
Parte 3Palestra 16: “Ataques de Canal Lateral”
Parte 1 /
Parte 2 /
Parte 3Palestra 17: “Autenticação de Usuário”
Parte 1 /
Parte 2 /
Parte 3Palestra 18: “Navegação Privada na Internet”
Parte 1 /
Parte 2 /
Parte 3Palestra 19: “Redes Anônimas”
Parte 1 /
Parte 2 /
Parte 3Palestra 20: “Segurança do telefone móvel”
Parte 1 /
Parte 2 /
Parte 3Palestra 21: “Rastreando Dados”
Parte 1 /
Parte 2 /
Parte 3 Palestra 22: “Segurança da Informação MIT”
Parte 1 /
Parte 2 /
Parte 3Palestra 23: “Economia da Segurança”
Parte 1 /
Parte 2O artigo da palestra discute várias estratégias de retaliação que podem impedir um spammer. Os autores observaram que há um número limitado de registradores de nomes de domínio para programas afiliados. Isso significa que a maioria dos parceiros afiliados é associada individualmente a um registrador que lida com seus nomes de domínio e infraestrutura. É muito raro quando um único registrador de nomes de domínio está associado a vários programas afiliados diferentes.
Isso significa que não há nenhum centro comum, registrador comum, greve que possa danificar toda a infraestrutura de spam. Um padrão semelhante se aplica a coisas como servidores da web. É raro que um provedor de ISP possua vários servidores Web com vários programas afiliados. Esse negócio tem uma natureza distribuída; portanto, é muito difícil dizer que, se "contratarmos" esses três fornecedores, todo o ecossistema de spam será destruído.
Portanto, é uma pena que não haja um único servidor que possa ser atingido para interromper o spam. Mais tarde veremos que isso pode funcionar em relação a alguns esquemas de bancos paralelos, portanto, talvez ainda consigamos pressionar o remetente de spam.
Vamos voltar ao estágio de implementação de spam e ver o que acontece depois que você, usuário, decide comprar algo. A fase de implementação consiste em duas partes.
O usuário paga por qualquer mercadoria que compra ou deseja comprar e, espero, recebe esses produtos por correio, como no caso de medicamentos falsificados ou downloads da Internet, se quiser receber o Photoshop pirateado ou algo assim.
O fluxo de caixa se parece com isso. O cliente entra em contato com o vendedor e diz que ele quer comprar alguma coisa. Ele envia as informações do cartão de crédito, após as quais o vendedor se comunica com o processador de pagamentos. Este é um intermediário importante que ajuda o vendedor, o spammer, a entender alguns dos meandros da interação com o sistema de cartão de crédito. O processador de pagamento entra em contato com o banco de serviço.
O banco de atendimento realiza todas as operações relacionadas a liquidações e pagamentos com cartões bancários. Ele se refere ao que é chamado de "rede associada" no artigo, mas consideraremos isso simplesmente como um sistema de pagamento Visa ou MasterCard, portanto, é apenas uma rede de cartão de crédito.
Finalmente, essas redes de associação, ou redes de cartões, se comunicam com o banco emissor do comprador. De fato, eles solicitam informações sobre se essa transação é legal, ou seja, com o consentimento do titular do cartão. Nesse caso, o dinheiro passa por todo esse sistema e vai para o vendedor. É assim que o fluxo financeiro de ponta a ponta das operações se parece. Esse fluxo de trabalho pode lidar com muito dinheiro. Um dos artigos mencionados no material da palestra diz que um parceiro pode receber mais de US $ 10 milhões como resultado de um acordo. Surge a pergunta: por que o banco adquirente ou o banco emissor não informa que algo está errado aqui? Como se vê, em muitos casos eles realmente não relatam nada.
Eu me pergunto por que o sistema financeiro é tolerante com esses processos. Por exemplo, por que os spammers classificam corretamente suas ofertas? Quando você deseja enviar algo através deste sistema, deve indicar corretamente o tipo de transação que está sendo realizada, indicando que está vendendo produtos farmacêuticos, software, qualquer que seja, não importa. Pode-se supor que um spammer que vende vitaminas falsas não queira indicar que ele está envolvido no negócio farmacêutico. No entanto, é interessante que na maioria dos casos os spammers classifiquem corretamente as transações. O motivo é que uma multa alta pode ser concedida por classificação incorreta.
Portanto, redes associadas como Visa ou Mastercard acreditam que com essas transações tudo está em ordem, mesmo que pareçam um pouco suspeitas. Mas eles não querem ser acusados de lavagem de dinheiro ou tentativa de enganar as autoridades. Contanto que você classifique corretamente o que está fazendo, então, em certo sentido, estará se defendendo. Porque você sempre pode dizer às autoridades que não entendeu a lei um pouco, mas pelo menos não tentou ocultar o objetivo dessa transação. Assim, frequentemente os spammers classificam corretamente suas transações, ou seja, eles jogam com uma certa medida dentro do sistema.
Outra pergunta que mencionei anteriormente é por que um remetente de spam envia algo aos clientes? Supostamente, se você é um spammer, então você é um criminoso, certo? Então, por que não apenas coletar dinheiro das pessoas e não fugir com elas? Acontece que eles realmente enviam coisas para os clientes porque não querem multas altas. Este é um sistema muito interessante no qual os spammers desejam fazer algo legalmente e, embora ainda não possam usar bitcoins, na verdade, eles devem funcionar dentro das limitações de um sistema existente.
Multas altas também são concedidas se o remetente de spam tiver muitos estornos. Um estorno significa que o cliente diz à empresa financeira que ele não recebeu os bens pagos ou que a qualidade dos bens recebidos não lhe convém. Portanto, se um remetente de spam tiver muitos clientes que precisam de reembolso, serão cobradas multas muito, muito altas. Portanto, a porcentagem de estornos nas transações de spam é bastante pequena. O fato é que as taxas de conversão de seus lucros são super baixas, de modo que mesmo uma ou duas multas podem destruir todo o lucro mensal. Portanto, os spammers estão realmente interessados em evitar multas nos dois casos acima.
Público: o uso do PayPal contribui para um relacionamento mais oculto com o banco?
Professor: sim e não. O PayPal é, de muitas maneiras, muito semelhante ao Visa ou MasterCard. Suas atividades são reguladas por regras semelhantes, porque esses sistemas de pagamento apresentam os mesmos tipos de riscos. Penso que, para algumas coisas, a Visa tem restrições mais rigorosas, sobre as quais falaremos em um segundo. Mas como sistema de pagamento, o Paypal tem objetivos semelhantes.
Público-alvo: existe uma ideia para organizar um grupo no qual você cria uma conta e, em seguida, entra deliberadamente no site do remetente de spam, compra um monte de coisas e depois organiza estornos para recuperar uma multa dele? Ou você está denunciando que os spammers classificam incorretamente as transações a serem multadas?
Professor: ideia interessante, assim como os vigilantes!
Público: Bem, sim, spammers spam.
Professor: sim, está certo, mas nunca ouvi falar disso. Eu sei que os spammers estão tentando encontrar pessoas que os controlam. O artigo afirma como os autores identificaram spammers. Eles receberam várias mensagens de spam, passaram por vários links, emitiram um cartão Visa especial, que costumavam comprar essas coisas e assim por diante. Eles chamam de "compras de teste". No entanto, os remetentes de spam procuram impedir compras de teste de pessoas que estão tentando descobrir o que está acontecendo. Portanto, alguns spammers exigem que você verifique sua identidade antes de vender alguma coisa. Eles podem solicitar que você envie uma foto de identificação ou algo assim. Algumas pessoas começaram a fazer isso depois que a Visa reforçou as regras de spam. Agora, os spammers estão tendo problemas porque as pessoas que clicam nos links de spam não desejam enviar uma verificação de seu ID para uma pessoa aleatória. O artigo fornece trechos da correspondência dos remetentes de spam no fórum, onde eles reclamam que a Visa os recebeu - eles são obrigados a pedir às pessoas que lhes enviem uma confirmação de identidade, mas não querem fazer isso. É estranho que as pessoas tenham medo de enviar digitalizações de documentos para os remetentes de spam, mas não têm medo de fornecer seus números de cartão de crédito. De qualquer forma, os remetentes de spam estão interessados em encontrar pessoas oportunas tentando trazê-las para a água limpa.
Público-alvo: em relação aos estornos - é possível que, se as pessoas não querem que seu banco saiba que estão comprando coisas ilegais, elas ficam com vergonha de exigir um reembolso, mesmo que não tenham recebido as mercadorias?
Professor: boa pergunta. Não sei quantas pessoas que compraram todos os tipos de suplementos alimentares ficaram desapontados com elas e relataram isso ao seu banco. É interessante que o banco saiba em primeiro lugar para onde o dinheiro está sendo enviado, mas acho que você não precisa divulgar nenhuma informação adicional sobre a transação para emitir um reembolso.
Público-alvo: qual a porcentagem aproximada de estornos que preocupa um remetente de spam?
Professor: eles chamam números da ordem de 1% de todas as transações. Em outras palavras, se você é um spammer e tem mais de 1% das transações que exigem um estorno, isso é motivo de preocupação. Eu não ficaria surpreso com os números mais baixos, mas ouvi cerca de um por cento.
Como eu disse, essa foi uma das partes mais interessantes do artigo, porque sempre acreditei que a propriedade obrigatória do spam é uma fraude em aberto. Ou seja, as pessoas seguiram os links, enviaram dinheiro e não receberam nada. Mas, como se viu, os remetentes de spam precisam passar por toda a rede, que possui mecanismos para evitar fraudes, e acabam sendo forçados a enviar coisas para os clientes.
Outro motivo pelo qual os remetentes de spam preferem agir com cuidado, classificar corretamente as transações e enviar coisas aos clientes é que apenas alguns bancos estão dispostos a cooperar com os remetentes de spam. Isso significa que, se um remetente de spam recebe muitos estornos, ou cria problemas com operações bancárias e cartões de crédito, algum banco pode interromper as relações com ele. Ao mesmo tempo, não há muitos outros bancos que concordam em atender o remetente de spam, para que ele continue lidando com suas “brincadeiras”.
Estudos sobre este tópico mostraram que existem apenas cerca de 30 bancos adquirentes cujos serviços os spammers usam há mais de dois anos. De fato, este é um número muito pequeno de bancos. Portanto, a escassez de bancos serve como um incentivo para não brincar com o sistema financeiro, porque o remetente de spam simplesmente não terá ninguém para entrar em contato se quebrar as parcerias estabelecidas.
Assim, parece que exigir uma estrita adesão às regras financeiras pode reduzir o spam. Discutimos que coisas como uma botnet fornecem aos spammers muitos endereços IP, há provedores suficientes prontos para executar servidores da Web para eles, e assim por diante, mas o número de bancos atendidos parece realmente pequeno. Então, talvez possamos realmente atacar o spam aqui.
Mas, como eu já disse, isso é difícil, devido ao fato de ser difícil provar o fato da ilegalidade da atividade de spam. Por exemplo, se você usa mensagens de spam para vender, digamos, açúcar, não há nada ilegal porque a venda de açúcar não viola nenhuma lei. De alguma forma, você pode enganar o comprador no processo de venda, mas vender açúcar em si não é uma atividade ilegal.
Como se vê, muito spam cai nessa "área cinzenta", onde as coisas que os remetentes de spam fazem podem ser desagradáveis, mas não é necessário infringir a lei. Para coisas como software pirateado, a legislação descreve mais claramente o estado de direito. No entanto, você não pode simplesmente apontar para um desses bancos e dizer "olá, seus clientes são criminosos!". Isso nem sempre é verdade, especialmente se não houver evidências claras de papel que vinculem a transação financeira ao URL do remetente, que é a fonte da origem desta transação. Muitas vezes, é muito difícil provar a conexão desses links na cadeia de distribuição de spam.
Desde que o artigo que estávamos considerando foi publicado, a indústria de cartões de crédito tomou uma ação retaliatória, porque causou um grande estrago no momento de seu lançamento. Depois disso, as associações de sistemas de pagamento Visa e MasterCard se perguntaram o que poderiam fazer para eliminar parte do spam. Curiosamente, após a publicação do artigo, algumas empresas farmacêuticas e fornecedores de software apresentaram queixas na Visa.
Se você se lembra do artigo, a Visa era uma rede associada por meio da qual os pesquisadores de spam realizavam testes ou compras fictícias; portanto, algumas empresas consideraram a Visa como um sistema de financiamento para spammers e decidiram reclamar.
Em resposta a essas reclamações, a Visa fez algumas alterações em sua política de pagamento. Por exemplo, agora todas as transações com produtos farmacêuticos Visa marcam como vendas de alto risco. Isso significa que, se o banco agir como adquirente dessas transações, a Visa estabelecerá condições mais rigorosas para a transação, por exemplo, exigirá que o banco participe do programa de gerenciamento de riscos ou o verifique com mais frequência.
A Visa também alterou os regulamentos internos. Agora, eles definiram uma lista sem ambiguidade e proibiram a venda ilegal de medicamentos e produtos protegidos por marcas registradas.
Isso ajuda a introduzir multas mais agressivas contra bancos e comerciantes, que, de acordo com esse sistema de pagamento, estão envolvidos na venda ilegal de medicamentos, relógios de marcas falsificadas e assim por diante. Repito mais uma vez - ainda há muito spam localizado na "área cinza", e isso não é necessariamente ilegal. É só que os clientes precisam usar certos truques. Mas agora a Visa pode ter um efeito mais forte nas pessoas.
Para evitar compras falsas, que são realizadas não apenas por pesquisadores de spam, mas também por redes associadas, os remetentes de spam começaram a exigir varreduras de identificação dos compradores, e isso, como regra, não é muito bom.
Pelo menos alguns anos após os sistemas de pagamento terem alterado as regras das transações, isso teve um impacto. É bom ver que este artigo teve um grande impacto na vida real.
Outra coisa interessante mencionada no artigo são os aspectos éticos da realização de pesquisas de segurança, em particular a pesquisa de cadeias de spam. Para entender como alguns dos mecanismos bancários funcionam, os pesquisadores realmente tiveram que fazer compras. Eles tiveram que pagar um remetente de spam por esses produtos. Os autores escrevem que destruíram tudo o que compraram sem usar nada e conversaram com as empresas de desenvolvimento sobre a compra de versões piratas do seu software antes de comprá-lo.
De fato, a origem de tais coisas é de grande importância, especialmente no ambiente universitário. Porque se você deseja fazer algo que inclua pesquisa de personalidade, qualquer coisa que possa ter aspectos éticos, deve obter permissão dos advogados da Comissão de Revisão de Ética em Projetos de Pesquisa do IRB e similares. Para os pesquisadores, é muito importante ter certeza de que suas ações não apoiarão os invasores em algum canto remoto do mundo. Essa também é uma parte interessante dos materiais das palestras, porque já discutimos o quão ético é desenvolver explorações de dia zero se você souber que elas não podem ser corrigidas por alguém? Portanto, esse é um aspecto realmente interessante da pesquisa de segurança.
Público: Existe alguma supervisão da ética da segurança? Porque o artigo diz que o IRB não está interessado nisso.
Professor: sim, foi muito interessante. , IRB , , . , , - -. , . , . , IRB , , , .
: , 350 -, 28 , , 28 , ?
: , , , . , , 5 , , .
, , , . , , , . , - , , , , – , , .
, , 35 , , , 35 2 — . .
: 350 ? , 350 -.
: . , . , , - . , , , , -.
: , , , .
: , , . , , , , hackback, « ». , - , .
, , , . , . – , , . , 2013 , Microsoft, American Express, Paypal, . , , . , Command & Control. , , , «» .
, . , Microsoft , Microsoft.
, Windows , Windows, , , Microsoft . , . .
, . , , .
, , , , , .
, , .
.
Obrigado por ficar conosco. Você gosta dos nossos artigos? Deseja ver materiais mais interessantes? Ajude-nos fazendo um pedido ou recomendando a seus amigos, um
desconto de 30% para os usuários da Habr em um análogo exclusivo de servidores básicos que inventamos para você: Toda a verdade sobre o VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps da US $ 20 ou como dividir o servidor? (as opções estão disponíveis com RAID1 e RAID10, até 24 núcleos e até 40GB DDR4).
VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD de 1Gbps até janeiro de graça quando pagar por um período de seis meses, você pode fazer o pedido
aqui .
Dell R730xd 2 vezes mais barato? Somente nós temos
2 TVs Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 a partir de US $ 249 na Holanda e nos EUA! Leia sobre
Como criar um prédio de infraestrutura. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo?