Vírus - Spam
Új célpontok Hagyományos támadási célok: Szerverek, kiszolgálók, hálózati eszközök Ma már többnyire megfelelő védelemi rendszerek Új célpont: Felhasználók – kliens gépek Emberi hülyeség Tömeges fertőzés – mass distribution Worm, virus, trójaiak
Egy mondat az -ekről Teljesen megbízhatatlan Nem garantált a célbaérkezés – nincs visszajelzés Nem hitelesített a küldő, a dátum, a subject pl: más nevében levél küldése passzív-fingerprint ellenőrzése Nincs integritás ellenőrzés Szinte mindenki használja Megoldások: PGP/GNUPG, S/MIME, X.400
Egy levél fejléce Received: from mail.balabit.hu ([unix socket]) by lists.balabit.hu (Cyrus v Debian ubuntu1) with LMTPA; Tue, 02 Oct :36: X-Sieve: CMU Sieve 2.2 Received: by mail.balabit.hu (Postfix, from userid 1001) id D267F; Tue, 2 Oct :36: (CEST) X-Spam-Checker-Version: SpamAssassin ( ) on mail.balabit X-Spam-Level: * X-Spam-Status: No, score=1.2 required=5.0 tests=BAYES_40,HTML_10_20, HTML_MESSAGE autolearn=no version=3.1.4 Received: from fmx15.fre .hu (fmx15.fre .hu [ ]) by mail.balabit.hu (Postfix) with SMTP id D8AF7782D267D for ; Tue, 2 Oct :36: (CEST) Date: Tue, 2 Oct :36: (CEST) From: --TOROLVE-- Subject: corvinus To: Message-ID: X-Originating-IP: [ ] X-HTTP-User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR )
Vírusok Mi az a vírus? Önreprodukáló program, ami esetleg kárt is okoz... Cél: hírnév, károkozás, információ-szerzés stb. Klaszikus vírus tipusok Boot-, com/exe-, memória-rezidens Michelangelo, CIH stb. Ellenszer: vírus-keresõ, vírus írtó Symantec, Nod32, Kaspersky, CA, VirusBuster stb.
Hogyan mûködnek a keresõk Ismert virus program-minták keresése Esetleg ha lehetséges vírus irtás is (Nem tökéletes) Kulcs a friss adatbázis!! Rezidens vírus-keresés Fájl mûveletek ellenõrzése, alap operációs rendszer- hívások követése
Vírus trükök-ellentrükök Vírus keresõk semlegesítése A víruskeresõ program megfertõzése Polimorfikus vírusok, különbözõ elrejtési trükök Pl: merevlemez badblock-jainak felhasználása Terjedési módszerek: Fájl, , web Központi szûrés, pl: virus-wall, fájl-szerverek stb. TrendMicro VirusWall, IronPort stb.
Modern vírusok és keresõk Új tipusok Makró-vírus, worm (the greate internet worm), trójai, spyware Worm.Net (Worm hálózat IRC-rõl vezérelve) Melissa, I-LOVE-YOU, Nimda, CodeRed Kulcs: a leggyorsabb vírus adatbázis frissítés! 0-hour protection Miért „nincsenek” unix-on vírusok? Már vannak! :( Jogosultság ellenõrzés!
Melyik víruskresõt használjam? A legnehezebb kérdés! Független vírus-laborok kimutatásai Legnagyobb találati arány (VirusBulletin 100%, CheckMark, ICSALabs stb.) Leggyorsabb adatbázis frissítés Platform-támogatás, sebesség Memória-használat, teljesítmény kérdések!!!
SPAM/UCE Unsolicited Commercial (Bulk) s Problémák: túl sok levél, felesleges erõforrás felhasználás Phising támadások Open-relay szerverek Hogyan lehet védekezni? Probléma: false-negative, false-positive Statikus ellenõrzõ programok Tanítható adatbázisok (bayes algoritmusok) Distributed Checksum Clearinghouse
SPAM trükök Image spam Levelezési lista tartalommal vegyítve Minden spam levél különböző Distributed küldési rendszerek NO-SPAM címek Randomcím-generáló rendszerek BlackList - Gray-list
Különleges SPAM-ek Mobile-, SMS-, VoIP- spam Wiki-spam, blog-spam sokszor csak google-rank növelése Cél: minden lehetséges felületen elérni a felhasználót
Szorgalmi „Legyél Te is SPAM-er!” Küldjél nekem spam -t, amiben viagrát próbálsz nekem eladni angol nyelven. Probléma: vannak spam-szürõim...