Vírus - Spam

Új célpontok Hagyományos támadási célok:  Szerverek, kiszolgálók, hálózati eszközök  Ma már többnyire megfelelő védelemi rendszerek Új célpont:  Felhasználók – kliens gépek Emberi hülyeség  Tömeges fertőzés – mass distribution  Worm, virus, trójaiak

Egy mondat az -ekről Teljesen megbízhatatlan  Nem garantált a célbaérkezés – nincs visszajelzés  Nem hitelesített a küldő, a dátum, a subject pl: más nevében levél küldése passzív-fingerprint ellenőrzése  Nincs integritás ellenőrzés Szinte mindenki használja Megoldások:  PGP/GNUPG, S/MIME, X.400

Egy levél fejléce Received: from mail.balabit.hu ([unix socket]) by lists.balabit.hu (Cyrus v Debian ubuntu1) with LMTPA; Tue, 02 Oct :36: X-Sieve: CMU Sieve 2.2 Received: by mail.balabit.hu (Postfix, from userid 1001) id D267F; Tue, 2 Oct :36: (CEST) X-Spam-Checker-Version: SpamAssassin ( ) on mail.balabit X-Spam-Level: * X-Spam-Status: No, score=1.2 required=5.0 tests=BAYES_40,HTML_10_20, HTML_MESSAGE autolearn=no version=3.1.4 Received: from fmx15.fre .hu (fmx15.fre .hu [ ]) by mail.balabit.hu (Postfix) with SMTP id D8AF7782D267D for ; Tue, 2 Oct :36: (CEST) Date: Tue, 2 Oct :36: (CEST) From: --TOROLVE-- Subject: corvinus To: Message-ID: X-Originating-IP: [ ] X-HTTP-User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR )

Vírusok Mi az a vírus?  Önreprodukáló program, ami esetleg kárt is okoz...  Cél: hírnév, károkozás, információ-szerzés stb. Klaszikus vírus tipusok  Boot-, com/exe-, memória-rezidens  Michelangelo, CIH stb. Ellenszer: vírus-keresõ, vírus írtó  Symantec, Nod32, Kaspersky, CA, VirusBuster stb.

Hogyan mûködnek a keresõk Ismert virus program-minták keresése Esetleg ha lehetséges vírus irtás is (Nem tökéletes) Kulcs a friss adatbázis!! Rezidens vírus-keresés  Fájl mûveletek ellenõrzése, alap operációs rendszer- hívások követése

Vírus trükök-ellentrükök Vírus keresõk semlegesítése A víruskeresõ program megfertõzése Polimorfikus vírusok, különbözõ elrejtési trükök  Pl: merevlemez badblock-jainak felhasználása Terjedési módszerek:  Fájl, , web  Központi szûrés, pl: virus-wall, fájl-szerverek stb.  TrendMicro VirusWall, IronPort stb.

Modern vírusok és keresõk Új tipusok  Makró-vírus, worm (the greate internet worm), trójai, spyware  Worm.Net (Worm hálózat IRC-rõl vezérelve) Melissa, I-LOVE-YOU, Nimda, CodeRed Kulcs: a leggyorsabb vírus adatbázis frissítés!  0-hour protection Miért „nincsenek” unix-on vírusok?  Már vannak! :(  Jogosultság ellenõrzés!

Melyik víruskresõt használjam? A legnehezebb kérdés! Független vírus-laborok kimutatásai  Legnagyobb találati arány (VirusBulletin 100%, CheckMark, ICSALabs stb.)  Leggyorsabb adatbázis frissítés  Platform-támogatás, sebesség  Memória-használat, teljesítmény kérdések!!!

SPAM/UCE Unsolicited Commercial (Bulk) s Problémák:  túl sok levél, felesleges erõforrás felhasználás  Phising támadások  Open-relay szerverek Hogyan lehet védekezni?  Probléma: false-negative, false-positive  Statikus ellenõrzõ programok  Tanítható adatbázisok (bayes algoritmusok)  Distributed Checksum Clearinghouse

SPAM trükök Image spam Levelezési lista tartalommal vegyítve Minden spam levél különböző Distributed küldési rendszerek NO-SPAM címek Randomcím-generáló rendszerek BlackList - Gray-list

Különleges SPAM-ek Mobile-, SMS-, VoIP- spam Wiki-spam, blog-spam  sokszor csak google-rank növelése Cél: minden lehetséges felületen elérni a felhasználót

Szorgalmi „Legyél Te is SPAM-er!” Küldjél nekem spam -t, amiben viagrát próbálsz nekem eladni angol nyelven. Probléma: vannak spam-szürõim...