SPAMek és vírusok: konvergencia Nemes Dániel dnemes@filtermax.hu 2005. Március 3. – SZTAKI
SPAM, vírus, konvergencia UCE, UBE, Hoax, Phishing, NDR Bármi, ami felesleges 70%? 80%? 90%? Itthon ~25% Range: 3%-90% Vírus 10-90%, átlag 5-15%
SPAM Alan Ralsky, spamkirály 200 SPAM szerver, óránként 140 millió e-mail Vírus? Miért is? Olcsó, reagálnak, stb...
SPAM
SPAM: költségek Letöltés Elolvasás Rendszergazda/helpdesk lefoglalása Sávszélesség Szerver (processzor, memória, diszk) Backup méret Backup idő Visszaállítási idő 100 fős cégnél napi 10 spam: évi 6-8 millió
Védekezés RBL vagy más blacklist? NEM!!! Bayes-alapú? Lenyomat alapú? Egyedi szabály-alapú? Heurisztika, mesterséges intelligencia?
Védekezés Ingyenes? Fizetős? Helyben? Szolgáltatónál (ISP vagy MSP)? Fejlesztési idők, lehetőségek (pl Pico-SPAM) Karbantartás időigénye (admin, user) False negative? False Positive! filter:max – SurfControl E-mail Filter (SW), filter:mail MessageLabs (MSP)
Vírusok és SPAMek - konvergencia Címgyűjtés Zombikreálás -> nem megoldás a levelenkénti fizetés (pénz vagy processzoridő), SenderID, DomainKeys, stb. Visszapattanók (vírus-értesítések, NDR)
Vírusok fejlődése Média: floppy, boot sector .exe, .com Makró E-mail (99%) SPAM? Direkt alkalmazás-alkalmazás > standard megoldások
Sobig.F: 1/17; első 24 óra: 1 millió Adatok Lovebug: 1/28 Sobig.F: 1/17; első 24 óra: 1 millió MyDoom.A: 1/12; első 24 óra: 1,2 millió Vírus arányok: 2002: 1/542, 2003: 1/202 2004: ? <<1/100
MyDoom.A outbreak timeline
MyDoom.A: tapasztalatok Első 24 óra: Összesen 1,2 millió példány Ennek 1,2%-a magyar (!) Első hét: 0,2% magyar Itthon: >10.000 fertőzott IP Mi volna, ha komolyan rombolna?
Adatok Retrospektív teszt (av-test.org) 14 víruscsalád, 100 variáns És megint: Mi volna, ha komolyan rombolna?
További problémák 2004. 01. 01-2004. 09. 01 37000 update file Ebből 30000 érvényes, 7000 hibás Update szerverek nincsenek szinkronban Korrupt adatok (update-elés közben?) Nem elérhető szerverek
Jövő SPIM M-SPAM (SMS, MMS) M-Virus, pl Bluetooth M-SPAM++ És a mosással, bontott csirkével mi lesz?
SurfControl E-mail Filter Teljeskörű e-mail tartalomszűrő SW SPAM: DFP, heurisztika, Bayes, VLA-neuronhálók, LexiRules, LexiMatch, VIA, HTML stripping, URL, (RBL) DFP: 0% FP, 85-95% RR 14 szótár fileformátum (Office is) elemzés izolációs mappák részletes riportolás eredmények, díjak (IDC, SC Magazine)
filter:mail MessageLabs Szolgáltatás (MSP) MX rekordok átirányítása, tűzfalból 25-ös portra csatlakozás tiltása (-> védelem a hacker/cracker ellen) 10 irányítótorony, >2000 szerver napi 100-150 millió e-mail vírusszűrés: 4 hagyományos motor + Skeptic garantáltan 100%-os vírusszűrés SPAM-szűrés belépőszintű tartalomszűrés, IC, TLS
kérdések?
Nemes Dániel dnemes@filtermax.hu köszönöm a figyelmet! Nemes Dániel dnemes@filtermax.hu