Vírusok, férgek szerepe az informatikai hadviselésben

Slides:



Advertisements
Hasonló előadás
Vírusok, vírusvédelem.
Advertisements

Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Aruba Instant vállalati vezeték nélküli megoldások
Az operációs rendszer.
IP vagy Analóg Videó Megfigyelő rendszer
Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.
VIPRE Antivirus + Antispyware
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Vírusok, férgek, trójai programok
Microsoft Forefront biztonsági megoldások
A szoftverhasználat jogi vonatkozásai
Integrált tartalomszűrő rendszer a Juniper és a Websense segítségével Tartalomszűrés Juniper és Websense segítségével. Budapest, Bodnár Gábor,
E-NAPLÓ Szabó László.
Számítógépvírusok.
A számítógép vírusokról általában
Az operációs rendszer.
Networkshop, április Gál Gyula, Szegedi Tudományegyetem, Egyetemi Könyvtár Szerver-kliens alapú online intranetes.
[ Internet marketing Logfile elemzés Készítették: Fejős András
4. Gyires Béla Informatikai Nap május 6.1 Márton Ágnes Debreceni Egyetem Informatikai Kar Informatikai Rendszerek és Hálózatok Tanszék A Virtual.
BE KI Perifériák Számítógép.
Iskolai Hálózat Létrehozása
A Számítógépes vírusok
Megoldás Felhő szolgáltatások és Windows 7.
Kiss Tibor Rendszeradminisztrátor (MCP) DevNet Solution Kft. Jakab András Program-koordinátor Microsoft Program.
Készítette: Hanusz Zoltán /Hazlaat/
Internetes források alapján készítette:
Az operációs rendszer.
Készítette: Vaszily Zsolt MF-03 Miskolc, október 05. Számítógépes vírusok napjainkban.
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
A vírusokról.
A tűzfalakról Microsoft-módra Rövid áttekintés felhasználóknak (A GYIK alapján)
Programrendszer 2. Erőforrás – erőforrás elosztás 3. Indítja és ütemezi a programokat 4. kommunikáció 2 Takács Béla.
Fontos értesítés  48 órán belül egy új vírus kerül a forgalomba, amit a MICROSOFT éppen most tett közzé. Ha t kapsz valakitől,
Pénzintézetek és szolgáltatásaik kiber fenyegetettségei
Operációs rendszerek. Az operációs rendszer a számítógépet működtető szoftver, amely a számítógép indulásakor azonnal betöltődik a számítógép memóriájába:
Mobil eszközök biztonsági problémái
Gábor Dénes Főiskola Rendszertechnikai Intézet
1 Hernyák Zoltán Programozási Nyelvek II. Eszterházy Károly Főiskola Számítástudományi tsz.
1 Hernyák Zoltán Web: Magasszintű Programozási Nyelvek I. Eszterházy.
Szoftver Program – utasítás sorozat, amelyet a számítógép végre tud hajtani. Operációs rendszer – programcsomag, amely kapcsolatot teremt a felhasználó.
A XXI. századi három testőr (avagy a hálózat bosszúja)
Út a felhőbe - Azure IaaS Windows Server 2012 R2 konferencia
Óravázlat Készítette: Toldi Miklós
Felhő PC demonstráció Gergely Márk MTA SZTAKI Laboratory of Parallel and Distributed Systems
Ismeretlen malware detekciója bootlog analízis segítségével
Ingyenes,Multi funkcionális tűzfal szoftver
Számítógép hálózatok.
A vírus fogalma, típusai Vírusirtás Védelem
Elektronikus jelentéstovábbító portál vagyonkezelő szervezet számára Ügyfélkapu használatával.
XII.tétel VírusokVírusok. a ) Mik azok a vírusok? A vírusok olyan programok, programrészek, vagy más utasítássorozatok összessége, melyek futáskor a nevükhöz.
A Windows Server 2003 termékcsalád A Windows Server 2003 termékcsaládnak 4 tagja van: Windows Server 2003, Standard Edition Windows Server 2003, Enterprise.
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
2. Operációs rendszerek.
Számítógépes hálózatok Páll Boglárka. Meghatározás A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese. Például:
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
SZOFTVEREK (programok)
Tűzfal (firewall).
1 Határtalan határvédelem Illés Márton
Vírusok. Fogalma Rejtőzködik Önmagát sokszorosítja Kárt okoz Mindhárom feltétel Bármelyik nem Vírus Vírus rokon.
SZOFTVEREK (programok)
MALWARE Készítette: Borsi Rebeka. MI AZ A MALWARE? Angol mozaikszó → MALicious + softWARE Mindig adatcserével jönnek Típusai: trójai, vírus, féreg, kémprogram,
A Linux operációs rendszer A Linux felépítése. A UNIX önálló változata. Forráskódja szabadon hozzáférhető->gyors terjedés Szabad szoftver de nem nyilvános.
Vírusok. Számítógépes vírusok 1. Számítógépvírus fogalma: Olyan speciális, önmagát szaporítani képes program, amely más programokba beépülve különböző.
Operációs rendszerek Az operációs rendszerek működésének alapfogalmai.
Az operációs rendszer feladatai
A Linux operációs rendszer
Az operációs rendszerek
A HTE Vételtechnikai, Kábeltelevíziós Szakosztálya és a Média Klub előadása a BME TMIT I. épület B. 210-ben Mobilinternet semlegesség gyakorlati mérése.
Előadás másolata:

Vírusok, férgek szerepe az informatikai hadviselésben Készítette: Adamkó Péter András

Miről is beszélünk? Vírus Féreg Trójai Rootkitek Vagy az egész együtt egy alkalmazásban? Vírus: olyan program mely valamilyen hoszt fájlhoz kapcsolódik és annak végrehajtásától függ futása. Féreg önálló működsére képes, nem szükséges bármilyen másik szülő porgram. Trójai: nem terjeszti magát, valamiylen más alkalamzásnak álcázza magát, s végrehajtási shellt biztosít a hoszthoz. Rootkit: technológia, mely alkalmas különböző 30 éve jelen vannak, de az Internet elötörésével lett kimondottan jelentős hatásuk.

Informatikai hadviselés? Trójai programok számának növekedése 2003-2005 között Vírusok, férgek számának csökkenése 2003-2005 között A levelező és spammelő férgektől eljutottunk az igazi hálózati férgekig. Az előbbiek kezdetben a levelező klienseket, majd végül saját SMTP motort is felhasználva küldték magukat tovább a következő rendszerekbe. Lényegében a felhasználók segítségére számítva továbbterjedésükben. Hamarosan azonban a legnépszerűbb levelező szoftverekben megtalálható hibákat kihasználva is terjedtek. 2003: Slammer, Sobig, Lovesan, Welchia, Witty 2004: Mydoom, Zafi, Bagle, Netsky, Sasser 2005: Mytob, Zotob

Informatikai hadviselés! Bankok elleni információ szerző támadások: Bank of America, Sumitomo Bank, MasterCard, Visa, Card Systems Solutions. Országos szintű kémkedési ügyek: Hotworld, Titan Rain Valójában máig nem tudjuk pontosan hány másik eset történt meg, s melyik milyen szabású volt. A bankok számára ez presztízs kérdés lehet... Minden esetben valamiféle trójait használtak fel a kémkedéshez, természetesen számunkra, kívülállóknak nehéz meghatározni az incidensek pontos menetét, azonban a hírekből lehet tájékozódni. Titan Rain: kínai hacker csoport, mely USA-beli szerver támadásával szerzett igen érzékeny információkat: Redstone Arsenal katonai támaszpont, NASA, World Bank. Egy illető nyomon követte cselekedeteiket az interneten és következő adatokat találta:légügyi dokumentumok, részletes meghajtási tervek, a napelem és üzemanyagtartály tervek a Mars Resonnaince Orbiter számára, a katonai támaszpont dokumentumai, köztük részletes repülési terveket, s magukat a tervező szoftvert (Falconview 3.2) Nagyon gyorsan dolgoztak, körülbelül 10-30 perc alatt. Az értékésenek tűnő fájlokat összetömörítették és különböző állomásokon keresztül továbbították.

Célok Idáig: Most: spam, majd trójai proxy-k révén még több spam terjesztési műveletek botnetek létrehozása. Komoly destruktív töltete nem volt, csak az erőforrásfelhasználás mértéke miatt. Most: információszerzés -> identitáslopás, pénzműveletek, gazdasági haszonszerzés. A botneteket már pénzért adják bérbe… Fizetős rootkitek elérhetőek

Mi helyzet most? Az általános védelmi szoftverek a nagyszabású támadásokra specializálódtak:Zero-hour Virus Outbreak Protection, IPS Polimorfizmus és metamorfizmus egyelőre nem jelentkezik bonyolultan ezekben a férgekben. Elsősorban mintaalapú felismerés -> naponta többszöri frissítés révén már csak a férgek megjelenésének ideje kritikus. Egyszerű esetben ezek heurisztikák, kódemulációk révén szűrhetők. Kellően gyors algoritmusok: Warhol, Flash, Curios Yellow Mi a helyzet az egyedi szoftverekkel? Tűzfal, víruskereső -> rootkitek ellen nem véd, azonban a nagyszabású féreg támadások, sérülékenységek ellen igen.

Néhány nagyobb rootkitekkel kapcsolatos esemény 2005-ben Golden hacker defender rootkit, mely mintaalapú keresést végez, s a felismert védelmi szoftvereknek korrupt információt juttat el. Sony DRM szoftvere: megoldás a szerzői jogok védelmére? Mindazonáltal eltávolíthatatlan, és jelentős rendszer stabilitási gondokat okozhat… Az Sdbot.add AIM féreg már rootkit technológiát használ. (Oracle Database rootkit koncepció)

Rootkit tevékenység mérése Koncepció: Olyan rootkit-hátsókapu hibrid alkalmazás szimulációja, melyek a jelenlegi védelmi szoftverekkel nem észlelhetőek (IDS, vírusirtók). Hátsó kapu (port knocking) : Sadoor Rootkit: Fu, Vanquish, Hacker Defender Vírusírtó szoftverek: F-secure Internet Security 2006, AVG, NOD32 Rootkit detetektáló szoftver: Rootkit revealer, Blacklight Vírusok: Mytob, Bagle, MyDoom, Netsky variánsok Vírusirtok- külöbnöző verzióinak, illetve különböző dátumú adatbázisainak telepítésével, illetve különböző dátumú vírusok , külöbnöző verizóinak felhasználásával, előzetes tesztelés, viselkedés vizsgálat előzte meg

Mérés hely és architektúra Általános hálózati infrastruktúra Windows alapú gépek: 2000, XP, XP,SP1, SP2 VmWare-re telepített operációs rendszerek, NOD32, AVG, FIS2006 védelmi szoftverekkel Hálózati forgalom generálása: Suse 9.3 Erőforráshiány: mindent virtuális gépekkel, kivéve linuxot, éppen ezért nem lehetett magának a CPU-nak és memóriaigényeknek tesztelését elvégezni

Mérés 1 Fu : DKOM rootkit, folyamatok kernel driverek elrejtése privilégiumok állítása Vanquish : felhasználói módú „kampókat” létrehozó rootkit, fájlok elrejtése Hacker Defender: felhasználói módú rootkit, fáljok, folyamatok, portok elrejtésére Vírusok indítása, rejtése, illetve fedezetlenül hagyása

Tesztelés 1

Tesztelés 2

Tesztelés 3

Mérés 2 Sadoor(Windows server- Linux kliens 1.1): portknocking, távoli utasítások végrehajtása, csak csomagok alapján! Jelenleg könnyű hálózati nyomon követés, de módosítással és hálózati konfigurációval ez nehezebbé tehető.

Teszt 1

Teszt 2

Konklúzió Hálózati forgalom nagy mennyiségű adatforgalom esetén figyelemfelkeltő, egyszerű utasítások esetén nem lehet detektálni! Csak rootkit detektáló program segítségével sem mindig lehet kimutatni jelenlétüket. Valamint ez meglehetős szaktudást igényel, mivel nem csak a káros programok használják ezt a technológiát. Detektálás és eltávolítás veszélyes: létezik olyan kernel módú rootkit, mely tönkreteszi a gép drivereit eltávolítása esetén(lásd Mark Russinovich blogját). Védelmi szoftverek továbbra is erősen kötődnek a mintaalapú felismeréshez -> egy alkalmazás futásához rendelt, s annak fájljaiban adatot tároló rootkit detektálása hogyan történhet meg?

Köszönöm a figyelmet! Néhány érdekesebb link: http://www.sysinternals.com/Blog/ http://www.f-secure.com/weblog/