Att IDS-detektera Informationsläckage Snowden: Värde, risk eller ingenting mer än hind-sight bias?

Att "installera" något avsett för att lösa ett problem ytterst brett beskrivet är när vi tar distans till de faktiska problemenen i en mängd konkreta situationer tilltalande men från samma distans utan någon mer exakt information ganska svårbedömt vad de det egentligen tillför. Betraktar vi som exempel vad Reuters skriver nedan (som jag av naturligt givet diskussionen här 2010 rimligen bör kommentera om inte annat för att upprepa diskussion värde och risk):

"Reuters reported last month that the NSA failed to install the most up-to-date, anti-leak software at the Hawaii site before Snowden went to work there and downloaded highly classified documents belonging to the agency and its British counterpart, Government Communication Headquarters."

Från: Exclusive: Snowden persuaded other NSA workers to give up passwords (2013-11-08) | Reuters

Vi kan först konstatera de få saker enkelt känt bekräftat över flera organisationer, funktioner och tid: Varningar i sig att potentiella problem realiserats rörande Snowden innan han tog med sig data ut från NSA (eller att någon kamrat gjorde det) och "utvandrade" till den gamla världen återvändande till rysk-ofrihet likt gamla tiders rysk-utvandrare.

Givetvis kan vi ändå tänka sig att en IDS lösning hade givet varningar som följts upp och föranlett - oavsett hur scarce själva funktion Snowden hade som systemadministratör i en datormiljö relativt vilka normalt mer avvikande mönster av trafik och beteende den rollen genererar - att någon agerade i tid så att säga.

Nu vet vi (eller jag i alla fall inte) exakt vilken säkerhetskomponent som avses i arkitktur eller var d.v.s. vilket data den analyserar. Inte heller vet jag varifrån Snowden avseende system och hur det fungerade hämtade data han tog ut. Emellertid tror jag att det ungefär är så här:

• Gemensamt för diverse funktioner finns ett dokumenthanteringssystem. Vi benämner det DS.
• DS har webbgränssnitt.
• Det har en mängd funktioner vi inte exakt känner till men vi inte orimligt kan spekulera ganska väl motsvarar samma system samma myndigheter använder och gör tillgängliga via andra kanaler utan säkerhetskrav (ex. öppet på webben).
• Dessutom spekulerar jag mer exakt för att gissa lite extra (från diverse aktuella myndigheter givit ifrån sig i upphandlingar, dokument m.m. 2009 till tidigt 2011) att systemet delvis använder Drupal och underliggande har kopplingar till diveerse legacy-system, och att dess dokumenthantering möjligen kan ha mer än vanlig likhet med en del lösningar USA's consensus, myndighet NIH och mer spekulativt myndighet DoD.

Rörande ett system ungefär motsvarande detta kan vi lägga säkerhetsfunktioner för autentisering, sessioner m.m. såväl som intrusion detection underliggande eller i applikationslager.

Under applikationslager. D.v.s. primärt vad jag tror är aktuellt tittande med mindre medvetenhet om exakt vad som sker i applikationslagret på själva trafiken exempelvis abstraherat TCP/IP men mycket möjligt inkluderande andra protokoll. Ex. vilka datorer frsöker accessa vilka system var någonstans vid vilka tidpunkter o.s.v.

Eventuellt kanske med kännedom om olika personers arbetsschema ex. om Systemadministratör Snowden ej denna dag har någon arbetsuppgift fodrande att han som system administratör konsulterar power-points rörande trafikanalys för mobilnät varnar vi dennes chef eller om krisartat kanske skickar en drone att spionera på hans hus eller att en lampa börjar blinka i taket ovanför där han sitter eller liknande möjligheter men ej fullt så långt-gående ex. ip-adress / dator associerad till person a som normalt aldrig i sitt arbete ska behöva access till system Z och därför aldrig ska göra access försök till det och om så sker initierar det binärt utredning med uppföljning på plats med person.

Applikationslager: Här möjliggörs nu kontroller rörande vilka dokument, uppgifter, statistik m.m. en person accessar och hur väl det stämmer med en produktiv hårtarbetande medarbetare lojalt ej skickande data vidare till media eller konkurreerande företag eller länder. Utmaningen här är att både dra nytta av konceptet "ett webbgränssnitt till allt möjligt data sammanfört för att göra arbete enkelt för alla möjliga roller och avdelningar" (som jag spekulerar att DS liknar i idé) oh att försöka definiera eller beräkna normalt vs annorlunda eller misstänkt.

Att mappa dokument och annan information till roller, funktioner, projekt m.m. är givetvis mer eller mindre trivialt om det endast handlar om data definierat ex. för ett avgränsat projekt: De n st personer arbetande i projektet och deras chef ska kunna läsa dem och inga andra. Personer som söker efter associerade koncept runt dem är vad man bör bevaka extra.

I övrigt rörande historik under flera inser vi att det blir mer komplicerat. Det är inte att förutsätta utanför enkla säkerhetsklassificering att dokument i sig enkelt låter sig sortera till roller, nuvarande projekt, mer permanenta funktioner en person har o.s.v. Viss grovare filtrering tycks dock möjlig. En systemadministratör ska antagligen inte ha tillgång till något alls i systemet vi beskriver. Samtidigit rörande Snowden verkar det i alla fall inte orimligt att spekulera att han som inhyrd konsultresurs inte uteslutande haft en avgränsad roll hela tiden utan att det kanske också varierat över tiden utan att någon betrodd propagering av sådant sker och om det inte sker att det inte är ovanligt och att det i sig kanske snarare är kravställande på nivå för säkerhet än visa versa.

Problemet praktiskt blir givetvis svårare om man som Snowden fuskat i sin access till DS. Han har inte korrekt "ärligt" försökt (inte bara i alla fall) hacka sig in i systemet körande någon ljudlig skanner som nätverks IDS enkelt reagerar på eller surfat runt under egen identitet. Utan istället har han varit social med sina arbetskamrater för att få dom att dela sin inloggnings-token (vad nu använt: möjligen lösenord eller möjligt själva den fysiska accessen till motsvarande ett nätverksuttag eller datorn):

"Snowden may have persuaded between 20 and 25 fellow workers at the NSA regional operations center in Hawaii to give him their logins and passwords by telling them they were needed for him to do his job as a computer systems administrator, a second source said."

Från: Exclusive: Snowden persuaded other NSA workers to give up passwords (2013-11-08) | Reuters

Om vår IDS agerar i applikaionslager gäller nu inte bara att onormal access döljs kommande via proxy med närmare (eller exakt motsvarande) normal för arbetet access. Dessutom gäller ju att toppar i mängd, spridd ut från "normalitet" för resp. person o.s.v. "späds" ut över ett så försvarligt antal som kanske 20 eller fler personer.

För en tänkt huvudsakligt statistiskt lärande IDS (oavsett hårdare regler mycket lämpligt varande delar av värdet att ligga i applikationslager) finns en mindre ocean av statistiska metoder i ett inte fåtal paradigm (ex. paradigm neuronnät och metoder där typ av neuronnät resp. träningsdata) men för att ta två exempel:

"Principal Component Analysis (PCA) is employed for feature set selection and dimensionality reduction, while Mahalanobis Distance (MD) and is used to classify legitimate and illegitimate activity."

Från: HOST-BASED MULTIVARIATE STATISTICAL COMPUTER OPERATING PROCESS ANOMALY INTRUSION DETECTION SYSTEM (PAIDS) | DTIC.mil
AFIT/GOR/ENS/09-15
Glen R. Shilland ,
Major, USAF,
Mars 2009

Gäller först och konceptuellt enklare för Mahalanobis Distance att för resp. dimension vi mäter (ex. mängd dokument relaterat avlyssning avTyska politiker) är distansen från centralitet eller närmare / längre ifrån att varna vad som är funktion av normalt i form av medelvärde och hur vår avvikelse från medelvärdet varierar som skattat från variansen. Givetvis går särskilt variansen att ersätta med en mängd liknande mått indikerande hur informativ avvikelsen är för att peka på ett angrepp (variansen när vi antar normalfördelning ger ju oss informationen motsvarande Shannon entropi men det är kanske inte det bästa antagandet alla gånger). När nu Snowden lånar 20 - 25 personer inloggnings-token blir det mycket svårare än om han lånat en persons token.

För hotelling-transformationen handlar det enkelt om att ta ut formen för vad som definierar vad vi visuellt kan tänka oss som en ytan utifrån den yttre gräns som uttrycker den största variationen. Vi kan ex. för bilden fånga själva konturen för ett föremål (ex. ett fientligt stridsflygplan och därefter ta ut och resonera kring den formen: vad det liknar, förändra dess riktning m.m.). För ett IDS-system (utan att läst det säkert givet antal sidor gedigna arbetet Major Shilland gjort) kan vi tänka oss att det mer naturligt är praktiskt för att definiera normala funktioner i form av ex. "ämnes-ytan" eller "funktions-ytan" för vad vi försöker komma åt. Ett dokument med vissa indikatorer kan utan annat givet falla innanför denna ytan (där ytan möjligt kan vara vad systemet lär sig över tiden d.v.s. vara primärt riktat mot just otillåten access av annan person). Men även detta blir lätt problematiskt när han nu lånade 20 - 25 personers access-token.

I rapport nedan ges mer ex. på algoritmer och mer precis används k-nearest-neighbours. Även om det förvisso inte direkt hör till det mest avancerade vi kan tänka oss i clustering tror jag nog att det praktiskt är närmare vad som är funktionellt i en verklig miljö med en mängd händelser och användare om nu träning ska ske från datat (förhållandevis snabb) även om jag kan föreställa mig att behovet att definiera antal kluster kan ställa till problem vi vill agera närmare ex. projekt- eller roll-association (ex. ett kluster över alla användare skapad från en historik bakåt för där normala dokument eller liknande) oavsett metod-idé diskuterad i rapport. Även här är vi i distans och faktiskt går Mahalanobis Distance som en möjlighet bra för att uttrycka distans från en händelse till olika klusters. Välkända algoritmer från mönsterigenkänning:

• Mass: A New Ranking Measure for Anomaly Detection
Kai Ming Ting, James Tan Swee Chuan and Fei Tony Liu Gippsland School of Information Technology, Monash University, Australia

Utifrån ex. varians och besläktade mått på information kan outlier diskussionen ovan vara en utgångspunkt för att förstå en gigantisk utmaning med dom här systemen:

• Har vi ytterst låg varians för en händelse som uttryckt över aktuella dimensioner (ex. ny roll införd eller ny grupp av dokument).
• Gäller för mått Mahalanobis Distance genom att skalar avståndet som distans till "genomsnitt" med variansen (för att inte varna överdrivet där naturligt hög varians gäller) att:
  
  
  • När variansen går mot noll.
  • Går distansen mot oändligheten.
  
  
• Och systemet varnar konstant tills ny varians-skattning etablerats.

Är det normalt blir det kanske normalt att strunta i varningar tills systemet vants sig vid verkligheten oavsett hur den ser ut.

Därmed inte sagt som någon religiös tro eller teknisk-nödvändighet att rätt IDS-tekniskt rätt hanterad rörande varningar m.m. inte möjligt hade upptäckt problemen runt Snowden. Men det tycks från början till slut att själva problemet inte låg i något rörande det eller i övrigt konceptuellt liknande: varningar fanns det mängder av och dom varningarna låg i andra domäner där icke-hantering av dom varningarna inte bara möjliggjorde angreppet utan också direkt hade gjort det svårt för en IDS att troligt leverera något i övrigt. Sitter du med accesstoken för en försvarlig andel av lokal avdelning och det i sig inte har genererat varningar och misstänksamhet bland arbetskamraterna ska man inte tro att investering i en single-fix-it-all IDS tillför något annat än en känsla av att problemet är löst.

Är en IDS utan risk?

Nej precis som allt annat vi stoppar in i våra nätverk kan dessa lösningar komma med problem. Antar vi nu att det handlar om IDS lokaliserad i sensorer och delsystem i resp. avdelning med centraliserade punkter övergripande dit data propagerar är det ex. en kanal om angripen lokalt som information kan introduceras via (ex. för att utnyttja säkerhetsdefekter relaterat hur den informationen parsas och hanteras i andra punkter) eller som mest troligt relaterat installation och initial hantering i det lokala näverket utnyttja kanalerna informationen passerar via utan annan åtgärd för att komma åt andra nätverk.

Eventuella risker och problem här är svårt att spekulera om hur obefintliga eller omfattande de är. Men generell princip är att ju mer data via parsar, ju mer komplexa protokoll-stackar vi behöver hantera med vetskap, och desto mer komplex logik ju större risk för också ganska problematiska säkerhetsdefekter får vi. Vidare om det handlar om flera generationer av kod från en mängd olika källor desto fler säkerhetsdefekter får vi och vi kan faktiskt uttrycka den mängden avseende ej identifierade säkerhetsdefekter i statistisk modell genom att ta statistiken för mängden rapporterade säkerhetsdefekter för exakt samma eller för sundare "reundans i våra tolkningar" bredare grupper av besläktade "mjukvaror".

Det ska inte sunt tolkas som att vi får en vettig mätning att använda för sådan statistisk modell från följande sökning men den är ändå med sina cirka 10 000 träffar över gissningsvis kanske 500 - 1000 defekter ungefär motsvarande vad man relevant bör skatta rörande hastighet en indikation:

• site:securityfocus.com "tcp/ip stack"

Och Auscert med mindre diskussion runt enskilda problem resp. mindre diskuterat mindre egenheter närmare enskilt legacy gör cirka 30 träffar:

Varav två träffar för sista året.

D.v.s. viss hastighet redan där.

Och vid sidan allt relaterat sådana problem fodrande att man konkret bör göra seriösare quality assurance och defensive testning av defensive progrmmed and configurated givet att det vidrör potentiellt det mesta relaterat amerikanska myndigheter av alla de slag och instansieringar än normalt för IT-säkerhetslösningar är frågan nu om den som hade installerat dit det på Hawaii delvis i så fall hade varit Snowden?

Snowden lärde upp "vardagens maskinlösa humanoida" IDS att se samlandet av kollegornas access-token som normalt. Ungefär som problematiken indikerad i följande avhandling:

"Machine learning has become a prevalent tool in many computing applications and modern enterprise systems stand to greatly benefit from learning algorithms. However, one concern with learning algorithms is that they may introduce a security fault into the system. The key strengths of learning approaches are their adaptability and ability to infer patterns that can be used for predictions or decision making."

Från: Behavior of Machine Learning Algorithms in Adversarial Environments | Dtic.mil Blaine Alan Nelson Doctor of Philosophy in Computer Science University of California, Berkeley, 23 november 2010

För ex. från en helt annan och tror jag väsentligt enklare domän på hur vi kan tänka kring roller, projekt, funktioner m.m. som förändras över tiden för individ såväl som kopplingar i grupp (varaktig avdelning, team o.s.v. och rättigheter definierade för tillfälliga projet) ges i rapporten nedan:

• A Military Vignette for a Heterogeneous Data Proximity Tool (HDPT) Study
Eric G. Heilman Computational and Information Sciences Directorate, U.S. Army Research Laboratory Aberdeen Proving Ground, MD 21005-5067 Juni 2013.

Vi kan se konceptuella - om än möjligen vad som ligger längre fram än var man kanske idag står kring interna IDS-koncept - möjligheter från domänen diskuterad ovan att låta intern IDS kombinera med mer allmän övervakning av resp. medarbetare. Funktionellt i meningen ej antagande att man vet mer än vad man gör tror jag metod inte ovan gör förenklade antaganden om datats distribution ("MDS is a dimensionality reduction technique that is tolerant of and applicable to large sets of high-dimensioned, sparse, non-Gaussian data." - se också Wikipedia: MDS och notera att vi i distans-mått mycket möjligt laborerar med varians och centralitet) också om det nu säkert ofta är praktiskt helt funktionellt att få fram normalfördelningar för dimensioner man följer utan att det är någon praktisk nackdel och kanske ofta bättre än "rang-/ordnings-relaterade" mått.

Vad är Snowden?

En något besläktad fråga men ej relaterat de ev. riskreduktioner rörande "Snowden-incidenter" eller ev. risker introducerade eller icke-påverkan är att om vi antar att IDS-lösningen är fantastisk och det är känt om någon särskild anledning att försena den fanns. Rörande det får jag erkänna trots den gigantiska uppmärksamheten i media att jag varken tror på eller inte tror på "konceptet" Snowden.

Det tycks inte oimligt och jag kan mycket väl tänka mig att det kan ha inträffat som unefär indikerat: Snowden plockar åt sig en massa dokument, flyr till Ryssland och USA's stora lånegivare Merkel visar med sin irriation korrektheten. Samtidigt upplever jag utan att vara säker på att jag inte missat någon power-point eller dokument publicerat att förutom en del termer från den lokala kulturer resp. nummer och antal indikerade har ingenting ej känt publicerats. Vi kan relaterat det peka bl.a. på följande ganska olika förklaringar:

• Snowden & Co har inte väldigt många dokument eller tillgängliga.
• Det primära med hela Snowden-skapensen var att ge en enkel förklaring till diverse andra läckor och problem från flera år men där det hela kanske blev tämligen stressat. Istället för att göra fiende-arbeten hos NSA flera år blev det tvunget att rusa iväg trovärdigt potent medan annan medarbetare viktigare (kanske involverad Snowdens kontrakt eller underkontrakt) kan sitta avkopplat kvar hos NSA eller leveratör till NSA med god insyn för att igen börja rapportera till Kina eller ev. Ryssland (Kina har ju hjälpt Hawaii-funktioner att dela information förr) när det lugnat ner sig. Relaterat det tycker jag uppgifterna om att Snowden tillbringade tid på Ryska ambassaden i Hong Kong om korrekt luktar illa såväl som jag tycker att det luktar att Wikieaks inte (om jag inte missat det) publicerat dokumenten relaterat Ryssland man indikerade att man hade.
• Mycket dokument finns men:
• Ryssland eller liknande samarbetspartner vill ha mindre publicerat därför att man inte vill att NSA & Co ska veta exakt vad läckt så att man inte korrigerar och ändrar mer teknik-nära koncept i onödan.
• Dokument som planerat i huvudsak är vad Snowden & Co beställer från kamrater inom NSA m.m. där man tar det väldigt väldigt långt just nu. Antingen därför att många dokument fröstördes relaterat flykten eller som tänkt också från början.
• Konceptet var del av en mycket möjligt värdebyggande delkomponent i en lösning för att komma till rätta med den USA-paranoia som ev. toppade runt 2009 och skadade amerikanska affärer. Man tar ut saker ur dimma och gör det på ett sätt som kan accepteras som trovärdighet i det. Och som bonus åker Snowden över till Ryssland för att hjärntvätta Putin att sälja helikoptrarna USA handlar till Afganska regeringen billigare.

Eller mycket möjligt troligast filtrerar man från en ganska begränsad mängd dokument där det mesta är mer eller mindre ointressant eller i huvudsak obegripligt i långsam takt.

Saken är att det är välidgt svårt att från informatonen som gjorts känd väga mellan dom här koncepten. Jag har bara som ett ex. inte noterat (men ej heller särskilt sökt efter det) att något i media vandrat bakåt i Snowdens liv talande med gamla vänner m.m. och det är ju heller inte att väldigt många Snowden-foton har publicerats. Därmed inte att jag föreslår att Snowdens kanske snarast är i något tillstånd liknande det Snowden i Joseph Heller's Moment 22 är när bokens handling utspelar sig - snarare att väldigt lite är görligt att bedöma från det lilla som gjorts känt. Enklast väljer man bort tillsvidare att tro eller inte tro på Snowden ('s existens m.m.).

Vill man försöka bedöma hans språ där jag inte gjort någon seriös modell eller samlat något corpus kan man ev. få intryck att Snowden är en snabb "social-drill" när han går in i dialog med folk han (som spekulerat rörande internet-alias) "träffar" över kanaler där han kontinuerligt är närvarande eller om vi så vill bevakar. Det är inte alls ovanligt naturligt för en del personligheter som naturligt uttryckt i populationer men det är också en tidseffektiv teknik för att få "träffar" att ta vidare. Det stämmer dock inte vad jag sett i uppgifter med roller Snowden uppges ha haft under sin CIA-tid.

Kort sagt: Snowden luktar men det är svårt att förstå vad han luktar tills mer om någonsin blir känt från hans övervintrande den kalla den of snow Ryssland kan vara sommar och vinter.

Relaterat: IDS-lösningar bland amerikanska myndigheter

• IDS:er som använder gammal kod för protokollstackar på nya sätt (2010-02-16)
• Due dilligence i nätverkssäkerhet (2010-03-03)

Föregripande juni 10, 2013, och kan vi därför rimligen utan annat känt anta är helt icke-relaterat (om ens alls relevant här vilket är mindre troligt):

• Pan-amerikanska Intrusion detection: Har företag i internet-infrastruktur börjat kopplas in? Och är lösningen säker? (2013-04-30)

Relaterat: IDS i sociala media

Ger en kanske enklare ingång för många för att se möjligheter relaterat IDS från en domän de flesta idag använder själva och från en teknisk nivå ej skild från den information användaren har i sitt perspektiv:

• Enkel IDS för godtyckliga sociala media (2009-07-30)
• Whitening för ökad säkerhet i sociala media (2009-07-30)
• Tidsanalys i sociala media
• Säkerhetsproblem för sociala media i sammanfattning

Relaterat: Hypotesprövning med t-test

Students t-test är praktiskt mycket nära besläktat Mahalanobis Distance. Men som vi kan lära från det i komplexitet mer krävande området natural language processing men med väsentligt mer data tillgängligt kan hypotesprövning med t-test fungera enklare lite bättre.

Särskilt om man våldar lite runt om uttrycket i hur vi approximerar varians. Och praktiskt i hur vi sätter signifikansnivå enkelt och begripligt införande utrymme för approximationerna.

Alla "dom här" måtten är ju ganska snarlika men just därför är det kanske vettigt att se möjligheter precis runt om Mahalanobis Distance.

Foundations of Statistical Natural Language Processing - 5. Collocation har ett ex. där man våldför sig med approximationerna för att praktiskt lösa ett inte obesläktat problem vettigt. Kompletterande se att vi beroende på omständighet av och till kan approximera varians som funktion endast av P(A) och P(B). Det finns ett bättre exempel i någon av mina andra referenser böcker runt NLP men jag är osäker på var jag har de två böcker som kan vara aktuella (ev. kanske jag kompletterar).