 Sunbelt VIPRE termékcsalád képviselet Magyarország + Románia és a környező országokban  12 éve dolgozom a szakmában:  VirusBusterweb/marketing3 év.

Az előadások a következő témára: " Sunbelt VIPRE termékcsalád képviselet Magyarország + Románia és a környező országokban  12 éve dolgozom a szakmában:  VirusBusterweb/marketing3 év."— Előadás másolata:

1

2  Sunbelt VIPRE termékcsalád képviselet Magyarország + Románia és a környező országokban  12 éve dolgozom a szakmában:  VirusBusterweb/marketing3 év  ESETinformatikai vezető5 év  Sunbeltügyvezető4 év

3  1971: Creeper féreg az ARPANET-en  1983: „Számítógépes vírus” szóhasználat  1986: Brain boot-szektor vírus, az első PC vírus (DOS)  1994: OneHalf: az első „vírusom”  1998: CIH vírus a BIOS-t is tönkreteszi

4  1999: Melissa makróvírus óriási email forgalmat generál  2000: ILOVEYOU féreg 1 nap alatt az egész világban elterjed és 1000-2000 milliárd forint kárt okoz: ez Salgótarján 100-200 éves költségvetése  2001: Anna Kournikova, Sircam, Code Red, Nimda és Klez

5  2003: SQL Slammer néhány másodperc alatt terjed szét a világon és 100.000 szervert fertőz meg az első pár percben  Ezévben érkezik meg a Blaster is:

6  2004: MyDoom: a leggyorsabban terjedő email féreg  Ezévben jön még a Netsky, Bagle, Sasser és megjelenik az első Virtumonde:

7  Új szemlélet: a világméretű fertőzésekkel már nem kárt okoznak, hanem pénzt keresnek  Zlob trójai megjelenése: videók lejátszásához szükséges kodek, felhasználói jóváhagyással települ

8  2006: Leap: az első trójai Mac OS X operációs rendszerre  2007: Storm féreg több mint 10 millió számítógépből álló botnetet épít  Rustock rootkit a lopakodás iskolapéldája: hónapokig-évig? nem fedezik fel

9  2010 június: Stuxnet felfedezése SCADA ipari rendszereket támad, nukleáris létesítmények, elektromos hálózat, gyárak irányító rendszerei  Napjainkban háttérbe szorulnak a technikai megoldások, a felhasználót sokkal könnyebb rávenni egy trójai futtatására

10  Több mint 20 millió károkozó  A VIPRE kutatólaborjaiban napi 30-60.000 vírusmintát elemeznek  Gyakorlatilag másodpercenként „születik” egy új vírusminta  Vírusnak hívunk mindent: kémprogram, trójai, rootkit, féreg, hátsó ajtó, stb.

11  Önmagát replikálni képes  Fertőző program Jelentős programozói tudást igényel, általában más programokhoz (vagy bootszektorhoz) hozzákapcsolódva fertőz tovább. Például: OneHalf

12  Hálózaton terjedő károkozó  Önálló fájl, nem fertőz meg más programokat Sebezhetőségek kihasználásával terjed. Például: MyDoom (email) és Conficker (fájl)

13  Hasznos programnak tűnik, de mást (is) csinál mint amire tervezték  Trójai faló: Trójában másra számítottak Például: egy fertőzött számológép, ami a háttérben károkozókat tölt le és adatokat lop

14  Beépül az operációs rendszer magjába és még a víruskeresőtől is elrejti magát  Majd távolról fogad parancsokat és észrevétlenül teszi a feladatát  BIOS rootkit: új Windows telepítést is túlél Például: TDSS rootkit

15  Hátsó ajtót nyit a számítógépen, vagyis távolról irányíthatóvá teszi a gépet  RAT = Remote Administration Tool Például: Mydoom 3127-es porton távirányíthatóvá teszi a fertőzött gépet

16  Adatokat lop a számítógépről:  Billentyűzetlenyomásokat rögzít  Képernyőképeket küld  Követi a böngészést  Összegyűjti a dokumentumokat, emaileket  Ellopja a programlicenceket, játékkódokat  Ellopja a belépési adatokat (pl.: WoW) Például: Wowcraft jelszólopó, ellopja a WoW belépési adatokat amiket később eladnak

17  Kéretlen reklámokat jelenít meg  Figyeli a böngészőt és/vagy billentyűzetlenyomásokat, és az alapján jelenít meg kapcsolódó reklámot Például: böngészés közben váratlanul felugró reklámablak (ha nem a böngésző nyitotta).

18  Átveri a felhasználót, például vírusirtóként jelenik meg és több száz fertőzést mutat  A megoldáshoz pénzt kér és ráveszi a felhasználót a program megvásárlására Például: a rengeteg hamis antivírus

19  Az összes károkozótípust vírus helyett szakszerűen malwarenek hívjuk  Vírus: fájlokat fertőz  Féreg: hálózaton terjed  Trójai: mást tesz, mint aminek látszik  Rootkit: elrejti magát a kernelben  Hátsó ajtó: távolról irányíthatóvá teszi a gépet  Kémprogram: adatokat lop  Reklámprogram  Hamis antivírusok és átverések  A mai károkozók: ezek tetszőleges kombinációi

20  A kezdetekkor: hírnév és technikai demonstráció, „megmutatom, hogy lehet ilyet is”  Most: pénzszerzés és szervezett bűnözés, terrorizmus és katonai célok  de hogy lesz ebből pénz?

21  Szinte bármivel pénzt lehet keresni!  Fertőzött számítógépről minden ellopható:  Ellopják a bankkártya adatokat (billentyűzetnaplózás)  Ellopják a licenckulcsokat és újra eladják a programokat és játékokat  Ellopják az értékes belépési adatokat: banki kódokat, értékes virtuális javakat (WoW, póker, fogadás, stb…)

22  Fertőzött számítógép bármire használható:  Milliószám küld spamet  Kibérelhető zsarolásra: 1 millió számítógép bármelyik cég honlapját megbénítja hetekre  Átveri a felhasználót hamis vírusirtókkal  Reklámokat jelenít meg  Kibérelhető bármilyen szuperszámítógépes feladatra, például titkosítás feltörése  Terrortámadás: Grúzia és Azerbajdzsán (dél-oszétiai háború idején)

23  Kiberbűnözés mintapéldája:  internetszolgáltató  vírusfejlesztő  Storm botnet irányítója (kb. 50 millió fertőzött gép)  30-50 milliárd forint éves bevétel: a 7. leggazdagabb „magyar” lehetne egy év alatt a tulajdonos

24  1989 júniusi Virus Bulletin mind a 30 db ismert vírus hexadecimális mintáját közreadják egy táblázatban:

25  Már 1989 óta a bűnözők vannak előnyben: a vírusvédelmek csak reagálni tudnak az új fenyegetésekre  Ez sosem fog meváltozni: ha adott egy védelem (például másolásvédelem), akkor azt valahogy ki lehet játszani  Vagy ki lehet kapcsoltatni a felhasználóval:  átverések és adathalászat

26  A vírusok terjedésével elkezd fejlődni az antivírus piac  A mai napig számos új technológia jelenik meg: a VIPRE vírusirtó is mindössze 3 éves  Egyre komplexebb védelmek: a régi megoldások lelassulnak, gyorsan elavulnak és átveszik a helyüket a teljesen újraírt víruskereső motorok

27 VIPRE Antivirus Premium végpontvédelmi rendszer:  Óránként frissíti magát (adatbázis és program egyaránt)  Minden programot (.exe,.dll) ellenőriz futás előtt  Minden fájlt és adathordozót átvizsgál (pl.: autorun.inf)  Felügyeli a meglátogatott honlapokat és kiszűri az ismert káros weboldalakat  Szűri a hálózati forgalmat és blokkolja a káros szerverekkel való kapcsolatfelvételt  Átvizsgálja az emaileket és eltávolítja a férgeket, a fertőzött fájlokat és a káros linkeket  Megállítja a sebezhetőségek elleni hálózati támadásokat  Blokkolja a gyanús programokat (pl: kódinjektálás)

28  Egyezés egy már azonosított kártevővel  Pl.: név alapján letartóztatott bűnöző  Heurisztikus elemzés  Pl.: letartóztatás fegyverviselés miatt  Viselkedéselemzés  Pl.: agresszív vagy gyanús viselkedés miatt  Program működésének felügyelete  Pl.: bolti lopás azonosítása kamerával

29 A memóriában futtatás nélkül vizsgálja a program viselkedését:  kivágja a „hosszabb” kódrészleteket: például egy 1000x lefutó ciklusnál az a lényeg, hogy mit csinál, nem az hogy hányszor  gyanús viselkedést keres: programfájlok írása, szokatlan hálózati kommunikáció (például email közvetlen kiküldése), dokumentumok összegyűjtése, billentyűzetlenyomások figyelése, stb…

30  A high-tech, folyamatosan fejlődő víruselemző módszerek mellett elkerülhetetlen a felhasználó felelőssége  Idegen fájlok, gyanús csatolmányok megnyitása  Átlátszó átverések: miért felejti el a bankom a jelszavamat?  Ha megtörtént a fertőzés: hibaüzenetek, lefagyások, adatvesztés

31  Töltsünk le egy mentőeszközt, például az ingyenes VIPRE Rescue  Húzzuk ki a számítógép hálózati kapcsolatát, hogy ne frissüljön/működjön a kártevő  Próbáljunk csökkentett módban víruskeresést indítani  Forduljunk szakemberhez, vagy Windows újratelepítés/visszaállítás

32 Megtalálhattok bennünket a honlapunkon: www.vipre.hu