I+D |
SEGURIDAD INFORMÁTICA |
DIRECTOR: Ing. Sebastián García FECHA DE INICIO: 2006 UNIDAD ACADÉMICA: Facultad deIngeniería TEMÁTICA ABORDADA Seguridad Informática. Análisis de los ataques y generación de técnicas que permitan evitarlos. RESEÑA Las actividades de investigación en seguridad informática surgen en el año 2006 con el primer Grupo de Estudio en convenio con CITEFA (actualmente CITEDEF, Instituto de Investigaciones Científicas y Técnicas para la defensa) para resolver una problemática sobre el análisis en la detección de intrusos en honeypots. Este primer grupo logra satisfactoriamente concluir su trabajo y se crean posteriormente varios grupos más de estudio e investigación que con la unión de muchos alumnos y graduados, de a poco pero continuamente, amplían el espectro de investigaciones en seguridad realizados enla Facultad. Elobjetivo de las mismas es generar conocimiento innovador en áreas de la seguridad informática de alta relevancia. Durante estos años nos hemos enfocado en las problemáticas más importantes a nivel mundial (botnets, intrusos, honeypots, spam, etc.) para avanzar el estado del arte en investigaciones de calidad que permitan generar con el tiempo un entorno de investigación en seguridad informática. Cada grupo fue desarrollando su propia línea de acción y trabajo, publicando trabajos y participando de conferencias. Grupo de Estudio en Seguridad Informática (2006 – 2007)
Descripción: Por medio de un convenio con CITEFA, ellos plantearon su necesidad de contar con un programa que automáticamente reconociera las sesiones SSH interactivas en los honeypots donde recibían los ataques. El principal problema era que esa separación se realizaba manualmente y con errores. Objetivo: Se propuso desarrollar un programa que, procesando paquetes de la red, sea capaz de separar las sesiones TCP, posteriormente las SSH y finalmente determinar por medio de alguna técnica cuáles de esas sesiones SSH eran realizadas a mano por un intruso y cuales eran intentos automáticos de contraseñas. Principales resultados obtenidos: El grupo concluyó exitosamente sus actividades propuestas, incluyendo:
Nota: El aprendizaje más importante de este primer Grupo de estudio fue comprender que las intrusiones a servidores por medio de clásicos ‘exploits’ estaba migrando hacia los ataques a Web Servers y consecuentemente también estaban migrando las técnicas de análisis. Grupo de Estudio en Seguridad Informática II (2008 – 2009) Descripción: Frente al aprendizaje del primer grupo de estudio, se decide cambiar el foco de investigación hacia los, más actuales, ataques enla Web. En una primera instancia se profundizó en la detección de intrusos por medio de su patrón de ataques a sitios Web mediante la recolección de datos de variados ataques Web usando honeypots. Luego de largas pruebas, el grupo concluyó que la dificultad de obtener datos fidedignos de ataques reales era el impedimento más importante para su correcta finalización y decidió reorganizar su forma de trabajo. En esta nueva segunda instancia el grupo se orientó a comprender los detalles de los ataques Web mediante la creación de un framework de análisis de WebBotnets. El grupo desarrolló esta noción de WebBotnet para referirse a un concepto hasta el momento no implementado, las Botnets que trabajan totalmente con tecnologías Web. Objetivos: Estudiar y diseñar una WebBotnet para comprender como se realizan las acciones de ataques más modernas. Implementar todas las funcionalidades de una Botnet mediante tecnologías Web y desde este estudio comprender como proteger mejor a los clientes. Principales resultados obtenidos: Se desarrolló un primer prototipo dela WebBotnet que cumple con las siguientes propiedades: ● Cliente Javascript ○ Modificación del favicon para identificar la pestaña infectada ○ Generación del número de cliente único aleatorio ○ Contacto con el servidor de C&C en busca de las actividades a desarrollar ○ Reporte al panel de control cada un intervalo de tiempo fijo ○ Ejecución de módulos de código Javascript o agregado de código HTML ● Servidor de C&C PHP ○ Almacena los códigos que interactúan con cada cliente si lo requiere y gestiona diferentes módulos de actividad ● Panel de control del Botmaster ○ Visualización de los clientes infectados, con su dirección IP, User-Agent, número de cliente y estado de la conexión Nota: Diversos detalles dela WebBotnet no se han podido llevar a cabo. Es por eso que para concluir satisfactoriamente con el desarrollo de un software que demuestre la posibilidad de las técnicas y para poder aprender la mejor forma de proteger a los usuarios se consideró necesario la continuación del mismo. Grupo de Estudio en Seguridad Informática III (2009 – 2010) Descripción: Como consecuencia del éxito del prototipo de WebBotnet, se decidió continuar con esa línea de acción a fin de lograr un prototipo que tenga todas las características necesarias implementadas. Esta WebBotnet necesitaba todavía más funcionalidades, experimentos y puestas a prueba para lograr su cometido. Objetivo: Continuar el prototipo de investigación dela WebBotnet e implementar las funcionalidades que permitirán su expansión. Principales resultados obtenidos:
Grupo de Estudio Detección de intrusiones en redes Wireless (2010 – 2011) Descripción: Como inquietud de diversos alumnos en el área de la seguridad Wireless, se comenzó este grupo de estudio con miras a reconocer ataques por medio de la detección de anomalías en el tráfico de red cifrado mediante WPA2. Actualmente los protocolos WPA2 son la tecnología más segura para lograr la confidencialidad de una red WiFi y por lo tanto son objeto de muchos estudios en la comunidad. Objetivos: Los objetivos son: l Capturar tráfico WPA2 de ataques y conexiones normales para su publicación l Estudiar las diferencias de los tráficos a fin de determinar qué características del mismo son relevantes para su diferenciación. l Aplicar algoritmos de detección de anomalías para reconocer automáticamente ese tráfico malicioso. Principales resultados esperados: l Se espera obtener varias capturas de tráfico publicable l Se espera desarrollar un algoritmo para diferenciar conexiones maliciosas cifradas de conexiones normales cifradas. l Se espera publicar los resultados. Grupo de Estudio en Seguridad Informática – “Proyecto WebBotnets” (2010 – 2011) Descripción: Luego de la publicación de los resultados en diversas charlas, el grupo quiere centrase en la masificación de las técnicas dela WebBotnet. Esto requiere quela WebBotnet sea completamente esclable y sus módulos funcionen con centenas de equipos en simultáneo. Esta nueva etapa quiere dejarla WebBotnet disponible en internet para los investigadores de seguridad. Objetivos: Desarrollar las capacidades de escalabilidad dela WebBotnet. Modificar los módulos para que soporten decenas de clientes. Mejorar la eficiencia del programa. Dar a conocer el código públicamente. Realizar más experimentos que nos permitan ampliar el campo de trabajo. Principales resultados esperados: La publicación de un código útil, estable y seguro en la comunidad junto con un soporte y difusión del mismo dado por las charlas y congresos. También se esperan diversos experimentos que apoyen y ayuden a validar los diferentes módulos desarrollados. Proyecto de I+D: “Clasificación de Intrusos mediante el análisis del comportamiento posterior al ataque de Clientes Web“ (2008 -2009) Descripción: Este grupo de investigación nació también de la relación temprana con CITEFA en base a su necesidad de detectar intrusos en las fases posteriores a sus ataques a clientes web. Luego de las primeras fases del proyecto, los datos recavados mostraron que la mayoría de esos ataques eran realizados por Botnets. En base a este descubrimiento se delineó un plan para detectar esas botnet que atacan clientes por medio de la creación de un proyecto distribuido de detección. Objetivos:
Principales resultados obtenidos:
Proyecto de I+D: Sistema de detección y clasificación de Botnets (2009 – 2010) Descripción: Luego de contar con el diseño principal del sistema, se tenía la necesidad de desarrollar el primer prototipo completo. También era necesario probar el algoritmo seleccionado para la detección de botnets en un entorno de experimentación. Objetivos: Concluir el diseño de los componentes del sistema. Desarrollar un prototipo funcional inical del sistema completo. Realizar experimentos de prueba del algoritmo. Principales resultados obtenidos:
Proyecto de I+D: Sistema de detección y clasificación de Botnets II (2010 – 2011) Descripción: Luego de la implementación funcional del sistema se hace necesaria la puesta en actividad del mismo de forma permanente. Al ser un sistema distribuido, es necesario coordinar varios aspectos centrales en la correlación de datos, así como comprobar el correcto funcionamiento de sus partes. Objetivos: Finalizar las implementaciones necesarias y arreglos para tener un prototipo autónomo instalable del sistema distribuido de detección de Botnets. Dar a conocer el sistema de forma abierta. Contactar a organizaciones que quieran colaborar con el proyecto. Principales resultados esperados: El resultado esperado de este proyecto es un prototipo del Framework de detección de Botnets implementable en las computadoras hogareñas. Esto implicará que el algoritmo de detección funciona correctamente y que todos los detalles de las transferencias están implementados. Proyecto de I+D: “Keystroke Dynamics” (2010 – 2011) Objetivos:Desarrollar y evaluar metodologías de clasificación e identificación de personas por medio de keystroke dynamics en texto libre empleando técnicas específicas de inteligencia computacional y estadística. Principales resultados obtenidos:
Proyecto de I+D: “Keystroke Dynamics II” (2011 – 2012) Objetivo: Finalizar el diseño y desarrollo de un sistema de captura de teclas no intrusivo en computadoras para obtener los juegos de datos necesarios que permitan desarrollar y evaluar metodologías de clasificación e identificación de personas por medio de keystroke dynamics en texto libre empleando técnicas específicas de inteligencia computacional y estadística. Principales resultados esperados
INTEGRANTES DEL GRUPO DE INVESTIGACIÓN
PUBLICACIONES NACIONALES
PUBLICACIONES INTERNACIONALES
DISERTACIONES Y EXPOSICIONES DE TRABAJOS
PARTICIPACIÓN EN COMITÉS CIENTÍFICOS
PRESIDENCIA DE CONGRESOS, SIMPOSIOS Y TALLERES
VINCULACIÓN CON OTRAS UNIVERSIDADES Y CENTROS DE I+D
ASISTENCIA A CONGRESOS, SIMPOSIOS Y TALLERES NACIONALES
ATENEOS DE INVESTIGACION UNIVERSIDAD FASTA
DOCUMENTOS EDITADOS
ISBN 978-987-1312-22-1 PROYECTOS FINALES DE GRADUACIÓN A PARTIR DE PROYECTOS/GRUPOS
|
Facultad de Ingeniería Sedes San Vicente de Paul Gascón 3145 fi@ufasta.edu.ar |
SEGURIDAD INFORMÁTICA
- Home
- Ingeniería
- I + D Ingeniería
- SEGURIDAD INFORMÁTICA