200 likes | 293 Views
Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of Technology and Economics Laboratory of Cryptography and Systems Security http://www.crysys.hu/. T éveszmék a vírus/spam/kártékony kód elleni védelemről (1).
E N D
Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of Technology and Economics Laboratory of Cryptography and Systems Security http://www.crysys.hu/ Budapest University of TE Boldizsár BENCSÁTH, 2004
Téveszmék a vírus/spam/kártékony kód elleni védelemről (1) • Ha védem a szervert, a klienseket nem kell • Megveszem a védelmet és kész, beállítani, frissíteni, kiegészítőt venni nem kell • Ha drága szoftver veszek az jobb lesz • Ha komplex megoldást vásárolok, az mindent tudni fog • Ha én védem magam, és nem fertőződöm meg, akkor védett vagyok • Védett vagyok DoS támadásokkal szemben • Az én vírusirtóm mindent megtalál • Az én vírusirtóm gyorsabban frissül, mintsem a vírus ideér (ez mind nem igaz!) Budapest University of TE Boldizsár BENCSÁTH, 2004
Téveszmék a vírus/spam/kártékony kód elleni védelemről (2) • A vírusok sokat fejlődtek • A vírusok elleni védekezés sokat fejlődött • Sokkal ártalmasabbak a mai kódok • A mai operációs rendszerek gyengék • A mi felhasználóink képzettek (ez mind nem igaz!) Budapest University of TE Boldizsár BENCSÁTH, 2004
Téveszmék a vírus/spam/kártékony kód elleni védelemről (3) • Ha komplex vírusvédelmi szoftvert árulok, többen megveszik • Enyém lesz a legkomplexebb rendszer és ez jó • Az egész Internetet meg tudom védeni • Egyetlen megoldással kiküszöbölöm a …….. problémát (vírus, spam, buffer overflow, hibás program, lehallgathatóság stb.) Budapest University of TE Boldizsár BENCSÁTH, 2004
Segédeszközök • RBL listák ( ismert spammer, open relay, DSL/dialup vonal, rossz link (URL), stb.) • vírusírtó magok • antispam magok (már most is heurisztikus: statiszikai mag, ismert formák/formulák, hibák) • spammer reportoló eszközök • értesítést segítő eszközök (pl. ISP abuse@) Budapest University of TE Boldizsár BENCSÁTH, 2004
Programeszközök • Fájlhozzáférés-védelme • Internethozzáférés/levelezés védelme beékelődéssel • Tartalomszűrő kapcsolódás • Tömörítő algoritmusok, mime kezelés Budapest University of TE Boldizsár BENCSÁTH, 2004
Vírusírtás / spam mentesítés helye már a legelején nem kell mindent fogadni még a legvégén is szoktunk ellenőrizni komplex vírusvédelmi szerver Budapest University of TE Boldizsár BENCSÁTH, 2004
Mire lenne szükség? • Már az elején eldobjam amit akarok • Ott is heurisztika kellhet, miért lenne „csak” RBL alapon, ám miért kellene végigellenőrizni mindent azonnal? • Hogy mit dobok el az „elején” az függhet attól, hogy mi történik a „végén” (user spamnek minősít vagy felismer egy fontos ügyfelet) Budapest University of TE Boldizsár BENCSÁTH, 2004
archívum (md5) Syslog header checking daemonizált mag Visszajelzés karantén kimtömörítő 1 spamassassin client kimtömörítő 2 spamassassin daemon unzip Víruskereső mag 1 Bayes mag Víruskereső mag 2 „file” utility ClamAV daemon Razor (daemon) RBL 1,2,3 DCC minta: rendszer amavisd alapon Budapest University of TE Boldizsár BENCSÁTH, 2004
No tehát, mi is a gond? • Hiányzik a rendszerszemlélet • moduláris programozás, elfogadott interfészekkel • igények szerinti összekötés • heurisztika minden szinten, jól testreszabható módon • így skálázható is lenne • egy helyen kell fejleszeni és hibákat javítani, nem tíz helyen • természetesen „egységcsomag” elképzelhető Budapest University of TE Boldizsár BENCSÁTH, 2004
Ami miatt muszáj lenne… • egységes fellépés spammerek, vírusírók/terjesztők ellen • hatósággal, ISP-vel szabványosan kellene kommunikálni, de a géppel, ügyféllel is a későbbiekben • minden új ötlet leprogramozása minden cég által: pazarlás, ellenőrizhetetlenség • egyes szolgáltatások (pl. RBL) amúgy is központosítottak, a kereskedelmi gyártók is kihasználják. Budapest University of TE Boldizsár BENCSÁTH, 2004
Miért nem lehet komponensekre építeni? • mert a szabványok / interfészek definiálása „strapás” • kereskedelmi termékek gyártói nem ismerték fel a fontosságát • mindenki úgy gondolja, hogy az ő szoftvere oldja meg a dolgokat • a komponensből pénzt csinálni nehéz • egy komponensként használt szolgáltatásból pénzt csinálni nehéz • a jogi környezet heterogén, pl. adatvédelmi gondok Budapest University of TE Boldizsár BENCSÁTH, 2004
kihívások • Ki kell dolgozni hatékony komponenseket az újabb problémák megoldására, mint • egyéni védekezési lehetőségek, • statisztikai adatgyűjtés, • azonosítás, • visszajelzés, • tesztelés, • karanténozás, • mindezek távoli adminisztrációja és koordinációja tekintettel a hiányos információs viszonyokra, • … Budapest University of TE Boldizsár BENCSÁTH, 2004
Bizalom alapú rendszerek • bizalom? • megbízható információ kulcskérdés, de nem megfelelően megoldott Budapest University of TE Boldizsár BENCSÁTH, 2004
Projektjeink a témában • DoS/stb. SMTP frontend • Trap Email Address • VIRUSFLAGS (DNSRBL backend) • SPAM elleni koordináció • … Budapest University of TE Boldizsár BENCSÁTH, 2004
DoS front-end DoS front-end engine senderMTA DoS front-end client TCP wrapper MTA-scanner middleware Virus scanner MTA Bernstein’s UCSPI-TCP wrapper package MDA Budapest University of TE Boldizsár BENCSÁTH, 2004
TEA – Trap Email Address Értesítés bounce message (spam, virus) vírusírtás stb. reg.req. TEA kiadás vírus spammer lopott címet használ TEA a FROMmezőben cím lopás a hostról példa TEA: ili5.suto@oovk1.crysys.hu Budapest University of TE Boldizsár BENCSÁTH, 2004
VIRUSFLAGS • cél: lekérdezni, „feladó-hamisítós” vírussal van-e dolgunk • ne a vírusirtó mondja ezt meg, hanem egy központi megbízható információtár • DNSRBL megoldással, speciális DNS feloldás, pl. „xn--WormSomeFoolP-sgai.xn--ClamAntivirus-clamd-jba.fakeemailsender.virusflags.com” • maga a szerver/átvitel másra is használható lesz Budapest University of TE Boldizsár BENCSÁTH, 2004
SPAM jogi koordináció • VIRUSFLAGS-hez hasonló módszer, kihasználhatja annak moduljait • magyar spammerek nem hamisítják a feladót • magyar spammert listában gyűjtjük • ha újabb levél érkezik arról a címről, akkor a kliensek beküldik a kapott levelet a központi feldolgozónak • közös jogkezelés, szigorúbb eljárás Budapest University of TE Boldizsár BENCSÁTH, 2004
Köszönöm. Bencsáth Boldizsár BME Híradástechnikai Tanszék Adatbiztonság Laboratórium bencsath@crysys.hu http://www.crysys.hu/ Budapest University of TE Boldizsár BENCSÁTH, 2004