Rosszindulatú tanúsítványok detekciója a ROSCO rendszerrel

OData támogatás
Konzulens:
Dr. Buttyán Levente
Hálózati Rendszerek és Szolgáltatások Tanszék

A digitális tanúsítványok az informatika területén belül szinte mindenhol elterjedtek, mivel általuk hitelesítheti magát valaki a publikus kulcs infrastruktúrában. Egy szoftvergyártó által kiadott szoftver vagy szoftverfrissítés esetében akkor győződhetünk meg, hogy az adott programhoz tartozó digitális aláírás valóban a gyártó privát kulcsával lett kiállítva, ha létezik a gyártóhoz és a publikus kulcsához tartozó digitális tanúsítvány. Az ellenőrzést akár programok is elvégezhetik, például automatikusan települő frissítések esetén. A weboldalak szintén tanúsítványokkal hitelesítik magukat a felhasználók felé. A modern böngészők beépítve több olyan tanúsítványt tartalmaznak, melyeket alapértelmezetten megbízhatónak tartunk.

Ha a hitelesítésszolgáltatóban megbízunk, az általa kibocsájtott tanúsítványok-ban is megbízunk. Kérdéses, hogy egy digitális tanúsítvány valóban hiteles vagy csak annak tűnik. Az elmúlt években több olyan eset is történt, hogy sikerült a publikus kulcs infrastruktúrát kijátszani és ezáltal sikeres támadásokat végrehajtani.

A diplomatervem célja egy olyan szoftvercsomag tervezése és fejlesztése, amely lehetővé teszi digitális tanúsítványok elemzését és a gyanúsnak tűnő elemek kiszűrését. A szoftvercsomag a BME CrySyS Labor által fejlesztett ROSCO rendszert használja a tanúsítványokhoz való hozzáféréshez. A ROSCO-ba folyamatosan kerülnek be aláírt objektumok és digitális tanúsítványok. Az általam fejlesztett programcsomag lényegében a ROSCO adatbázisban található tanúsítványok folyamatos kiértékelését tenné lehetővé, ezzel segítve a vélhetően rosszindulatú tanúsítványok proaktív azonosítását és így támadások korai detekcióját.

Munkám során megismerkedtem a tématerület főbb fogalmaival, a tanúsítványok struktúrájával és a ROSCO adatbázissal. Lehetséges anomáliákat határoztam meg, amelyeket fellelve egy tanúsítványban, az gyanúsnak nevezhető. Ha egy tanúsítványt gyanúsnak detektál az általam készített szoftvercsomag, a tulajdonosa értesíthető, hogy a tanúsítvány legitim voltát igazolja. Ha előbb derül ki egy tanúsítványról, hogy hamis, akkor előbb is vonható vissza. Így a tanúsítványt a továbbiakban nem fogadják el és így a támadók a továbbiakban nem tudnak megbízható gyártó szerepében feltűnni. A cél, hogy a publikus kulcs infrastruktúra gyengeségeit kihasználó támadások minél előbb megakadályozhatók legyenek.

Letölthető fájlok

A témához tartozó fájlokat csak bejelentkezett felhasználók tölthetik le.