Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
04.21. Vírus - Spam
2
Új célpontok Hagyományos támadási célok: Szerverek, kiszolgálók, hálózati eszközök Ma már többnyire megfelelő védelemi rendszerek Új célpont: Felhasználók – kliens gépek Emberi hülyeség Tömeges fertőzés – mass distribution Worm, virus, trójaiak
3
Egy mondat az email-ekről Teljesen megbízhatatlan Nem garantált a célbaérkezés – nincs visszajelzés Nem hitelesített a küldő, a dátum, a subject pl: más nevében levél küldése passzív-fingerprint ellenőrzése Nincs integritás ellenőrzés Szinte mindenki használja Megoldások: PGP/GNUPG, S/MIME, X.400
4
Egy levél fejléce Received: from mail.balabit.hu ([unix socket]) by lists.balabit.hu (Cyrus v2.2.13-Debian-2.2.13-4ubuntu1) with LMTPA; Tue, 02 Oct 2007 21:36:55 +0200 X-Sieve: CMU Sieve 2.2 Received: by mail.balabit.hu (Postfix, from userid 1001) id 52272782D267F; Tue, 2 Oct 2007 21:36:55 +0200 (CEST) X-Spam-Checker-Version: SpamAssassin 3.1.4 (2006-07-26) on mail.balabit X-Spam-Level: * X-Spam-Status: No, score=1.2 required=5.0 tests=BAYES_40,HTML_10_20, HTML_MESSAGE autolearn=no version=3.1.4 Received: from fmx15.freemail.hu (fmx15.freemail.hu [195.228.245.65]) by mail.balabit.hu (Postfix) with SMTP id D8AF7782D267D for ; Tue, 2 Oct 2007 21:36:54 +0200 (CEST) Date: Tue, 2 Oct 2007 21:36:52 +0200 (CEST) From: --TOROLVE-- Subject: corvinus To: illes.marton@balabit.hu Message-ID: X-Originating-IP: [152.66.237.49] X-HTTP-User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR 2.0.50727)
![Egy levél fejléce Received: from mail.balabit.hu ([unix socket]) by lists.balabit.hu (Cyrus v Debian ubuntu1) with LMTPA; Tue, 02 Oct :36: X-Sieve: CMU Sieve 2.2 Received: by mail.balabit.hu (Postfix, from userid 1001) id D267F; Tue, 2 Oct :36: (CEST) X-Spam-Checker-Version: SpamAssassin ( ) on mail.balabit X-Spam-Level: * X-Spam-Status: No, score=1.2 required=5.0 tests=BAYES_40,HTML_10_20, HTML_MESSAGE autolearn=no version=3.1.4 Received: from fmx15.fre .hu (fmx15.fre .hu [ ]) by mail.balabit.hu (Postfix) with SMTP id D8AF7782D267D for ; Tue, 2 Oct :36: (CEST) Date: Tue, 2 Oct :36: (CEST) From: --TOROLVE-- Subject: corvinus To: Message-ID: X-Originating-IP: [ ] X-HTTP-User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR )](http://images.slideplayer.hu/10/2695968/slides/slide_4.jpg "Egy levél fejléce Received: from mail.balabit.hu ([unix socket]) by lists.balabit.hu (Cyrus v Debian ubuntu1) with LMTPA; Tue, 02 Oct :36: X-Sieve: CMU Sieve 2.2 Received: by mail.balabit.hu (Postfix, from userid 1001) id D267F; Tue, 2 Oct :36: (CEST) X-Spam-Checker-Version: SpamAssassin ( ) on mail.balabit X-Spam-Level: * X-Spam-Status: No, score=1.2 required=5.0 tests=BAYES_40,HTML_10_20, HTML_MESSAGE autolearn=no version=3.1.4 Received: from fmx15.fre .hu (fmx15.fre .hu [ ]) by mail.balabit.hu (Postfix) with SMTP id D8AF7782D267D for ; Tue, 2 Oct :36: (CEST) Date: Tue, 2 Oct :36: (CEST) From: --TOROLVE-- Subject: corvinus To: Message-ID: X-Originating-IP: [ ] X-HTTP-User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR )")
5
Vírusok Mi az a vírus? Önreprodukáló program, ami esetleg kárt is okoz... Cél: hírnév, károkozás, információ-szerzés stb. Klaszikus vírus tipusok Boot-, com/exe-, memória-rezidens Michelangelo, CIH stb. Ellenszer: vírus-keresõ, vírus írtó Symantec, Nod32, Kaspersky, CA, VirusBuster stb.
6
Hogyan mûködnek a keresõk Ismert virus program-minták keresése Esetleg ha lehetséges vírus irtás is (Nem tökéletes) Kulcs a friss adatbázis!! Rezidens vírus-keresés Fájl mûveletek ellenõrzése, alap operációs rendszer- hívások követése
7
Vírus trükök-ellentrükök Vírus keresõk semlegesítése A víruskeresõ program megfertõzése Polimorfikus vírusok, különbözõ elrejtési trükök Pl: merevlemez badblock-jainak felhasználása Terjedési módszerek: Fájl, email, web Központi szûrés, pl: virus-wall, fájl-szerverek stb. TrendMicro VirusWall, IronPort stb.
8
Modern vírusok és keresõk Új tipusok Makró-vírus, worm (the greate internet worm), trójai, spyware Worm.Net (Worm hálózat IRC-rõl vezérelve) Melissa, I-LOVE-YOU, Nimda, CodeRed Kulcs: a leggyorsabb vírus adatbázis frissítés! 0-hour protection Miért „nincsenek” unix-on vírusok? Már vannak! :( Jogosultság ellenõrzés!
10
Melyik víruskresõt használjam? A legnehezebb kérdés! Független vírus-laborok kimutatásai Legnagyobb találati arány (VirusBulletin 100%, CheckMark, ICSALabs stb.) Leggyorsabb adatbázis frissítés Platform-támogatás, sebesség Memória-használat, teljesítmény kérdések!!!
12
SPAM/UCE Unsolicited Commercial (Bulk) Emails Problémák: túl sok levél, felesleges erõforrás felhasználás Phising támadások Open-relay szerverek Hogyan lehet védekezni? Probléma: false-negative, false-positive Statikus ellenõrzõ programok Tanítható adatbázisok (bayes algoritmusok) Distributed Checksum Clearinghouse
13
SPAM trükök Image spam Levelezési lista tartalommal vegyítve Minden spam levél különböző Distributed küldési rendszerek NO-SPAM címek Randomcím-generáló rendszerek BlackList - Gray-list
14
Különleges SPAM-ek Mobile-, SMS-, VoIP- spam Wiki-spam, blog-spam sokszor csak google-rank növelése Cél: minden lehetséges felületen elérni a felhasználót
15
Szorgalmi „Legyél Te is SPAM-er!” Küldjél nekem spam email-t, amiben viagrát próbálsz nekem eladni angol nyelven. Probléma: vannak spam-szürõim...
Hasonló előadás
