Budapest University of TE Boldizsár BENCSÁTH, Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of Technology and Economics Laboratory of Cryptography and Systems Security

Budapest University of TE Boldizsár BENCSÁTH, Téveszmék a vírus/spam/kártékony kód elleni védelemről (1) •Ha védem a szervert, a klienseket nem kell •Megveszem a védelmet és kész, beállítani, frissíteni, kiegészítőt venni nem kell •Ha drága szoftver veszek az jobb lesz •Ha komplex megoldást vásárolok, az mindent tudni fog •Ha én védem magam, és nem fertőződöm meg, akkor védett vagyok •Védett vagyok DoS támadásokkal szemben •Az én vírusirtóm mindent megtalál •Az én vírusirtóm gyorsabban frissül, mintsem a vírus ideér (ez mind nem igaz!)

Budapest University of TE Boldizsár BENCSÁTH, Téveszmék a vírus/spam/kártékony kód elleni védelemről (2) •A vírusok sokat fejlődtek •A vírusok elleni védekezés sokat fejlődött •Sokkal ártalmasabbak a mai kódok •A mai operációs rendszerek gyengék •A mi felhasználóink képzettek (ez mind nem igaz!)

Budapest University of TE Boldizsár BENCSÁTH, Téveszmék a vírus/spam/kártékony kód elleni védelemről (3) •Ha komplex vírusvédelmi szoftvert árulok, többen megveszik •Enyém lesz a legkomplexebb rendszer és ez jó •Az egész Internetet meg tudom védeni •Egyetlen megoldással kiküszöbölöm a …….. problémát (vírus, spam, buffer overflow, hibás program, lehallgathatóság stb.)

Budapest University of TE Boldizsár BENCSÁTH, Segédeszközök •RBL listák ( ismert spammer, open relay, DSL/dialup vonal, rossz link (URL), stb.) •vírusírtó magok •antispam magok (már most is heurisztikus: statiszikai mag, ismert formák/formulák, hibák) •spammer reportoló eszközök •értesítést segítő eszközök (pl. ISP

Budapest University of TE Boldizsár BENCSÁTH, Programeszközök •Fájlhozzáférés-védelme •Internethozzáférés/levelezés védelme beékelődéssel •Tartalomszűrő kapcsolódás •Tömörítő algoritmusok, mime kezelés

Budapest University of TE Boldizsár BENCSÁTH, Vírusírtás / spam mentesítés helye már a legelején nem kell mindent fogadni még a legvégén is szoktunk ellenőrizni komplex vírusvédelmi szerver

Budapest University of TE Boldizsár BENCSÁTH, Mire lenne szükség? •Már az elején eldobjam amit akarok •Ott is heurisztika kellhet, miért lenne „csak” RBL alapon, ám miért kellene végigellenőrizni mindent azonnal? •Hogy mit dobok el az „elején” az függhet attól, hogy mi történik a „végén” (user spamnek minősít vagy felismer egy fontos ügyfelet)

Budapest University of TE Boldizsár BENCSÁTH, daemonizált mag Víruskereső mag 1 Víruskereső mag 2 ClamAV daemon „file” utility kimtömörítő 1 kimtömörítő 2 unzip Syslog spamassassin client spamassassin daemon RBL 1,2,3Razor (daemon) DCC Bayes mag header checking Visszajelzés karantén archívum (md5) minta: rendszer amavisd alapon

Budapest University of TE Boldizsár BENCSÁTH, No tehát, mi is a gond? •Hiányzik a rendszerszemlélet •moduláris programozás, elfogadott interfészekkel •igények szerinti összekötés •heurisztika minden szinten, jól testreszabható módon •így skálázható is lenne •egy helyen kell fejleszeni és hibákat javítani, nem tíz helyen •természetesen „egységcsomag” elképzelhető

Budapest University of TE Boldizsár BENCSÁTH, Ami miatt muszáj lenne… •egységes fellépés spammerek, vírusírók/terjesztők ellen •hatósággal, ISP-vel szabványosan kellene kommunikálni, de a géppel, ügyféllel is a későbbiekben •minden új ötlet leprogramozása minden cég által: pazarlás, ellenőrizhetetlenség •egyes szolgáltatások (pl. RBL) amúgy is központosítottak, a kereskedelmi gyártók is kihasználják.

Budapest University of TE Boldizsár BENCSÁTH, Miért nem lehet komponensekre építeni? •mert a szabványok / interfészek definiálása „strapás” •kereskedelmi termékek gyártói nem ismerték fel a fontosságát •mindenki úgy gondolja, hogy az ő szoftvere oldja meg a dolgokat •a komponensből pénzt csinálni nehéz •egy komponensként használt szolgáltatásból pénzt csinálni nehéz •a jogi környezet heterogén, pl. adatvédelmi gondok

Budapest University of TE Boldizsár BENCSÁTH, kihívások  Ki kell dolgozni hatékony komponenseket az újabb problémák megoldására, mint  egyéni védekezési lehetőségek,  statisztikai adatgyűjtés,  azonosítás,  visszajelzés,  tesztelés,  karanténozás,  mindezek távoli adminisztrációja és koordinációja tekintettel a hiányos információs viszonyokra,  …

Budapest University of TE Boldizsár BENCSÁTH, Bizalom alapú rendszerek •bizalom? •megbízható információ kulcskérdés, de nem megfelelően megoldott

Budapest University of TE Boldizsár BENCSÁTH, Projektjeink a témában •DoS/stb. SMTP frontend •Trap Address •VIRUSFLAGS (DNSRBL backend) •SPAM elleni koordináció •…

Budapest University of TE Boldizsár BENCSÁTH, MTA TCP wrapper Virus scanner MTA-scanner middleware DoS front-end client DoS front-end engine MDA sender MTA Bernstein’s UCSPI-TCP wrapper package DoS front-end

Budapest University of TE Boldizsár BENCSÁTH, reg.req. TEA kiadás vírus TEA a FROM mezőben bounce message (spam, virus) cím lopás a hostról spammer lopott címet használ Értesítés vírusírtás stb. TEA – Trap Address példa TEA:

Budapest University of TE Boldizsár BENCSÁTH, VIRUSFLAGS •cél: lekérdezni, „feladó-hamisítós” vírussal van-e dolgunk •ne a vírusirtó mondja ezt meg, hanem egy központi megbízható információtár •DNSRBL megoldással, speciális DNS feloldás, pl. „ xn--WormSomeFoolP-sgai.xn--ClamAntivirus-clamd- jba.fake sender.virusflags.com ” •maga a szerver/átvitel másra is használható lesz

Budapest University of TE Boldizsár BENCSÁTH, SPAM jogi koordináció •VIRUSFLAGS-hez hasonló módszer, kihasználhatja annak moduljait •magyar spammerek nem hamisítják a feladót •magyar spammert listában gyűjtjük •ha újabb levél érkezik arról a címről, akkor a kliensek beküldik a kapott levelet a központi feldolgozónak •közös jogkezelés, szigorúbb eljárás

Budapest University of TE Boldizsár BENCSÁTH, Köszönöm. Bencsáth Boldizsár BME Híradástechnikai Tanszék Adatbiztonság Laboratórium