1 / 20

Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH

Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of Technology and Economics Laboratory of Cryptography and Systems Security http://www.crysys.hu/. T éveszmék a vírus/spam/kártékony kód elleni védelemről (1).

afram
Télécharger la présentation

Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of Technology and Economics Laboratory of Cryptography and Systems Security http://www.crysys.hu/ Budapest University of TE Boldizsár BENCSÁTH, 2004

  2. Téveszmék a vírus/spam/kártékony kód elleni védelemről (1) • Ha védem a szervert, a klienseket nem kell • Megveszem a védelmet és kész, beállítani, frissíteni, kiegészítőt venni nem kell • Ha drága szoftver veszek az jobb lesz • Ha komplex megoldást vásárolok, az mindent tudni fog • Ha én védem magam, és nem fertőződöm meg, akkor védett vagyok • Védett vagyok DoS támadásokkal szemben • Az én vírusirtóm mindent megtalál • Az én vírusirtóm gyorsabban frissül, mintsem a vírus ideér (ez mind nem igaz!) Budapest University of TE Boldizsár BENCSÁTH, 2004

  3. Téveszmék a vírus/spam/kártékony kód elleni védelemről (2) • A vírusok sokat fejlődtek • A vírusok elleni védekezés sokat fejlődött • Sokkal ártalmasabbak a mai kódok • A mai operációs rendszerek gyengék • A mi felhasználóink képzettek (ez mind nem igaz!) Budapest University of TE Boldizsár BENCSÁTH, 2004

  4. Téveszmék a vírus/spam/kártékony kód elleni védelemről (3) • Ha komplex vírusvédelmi szoftvert árulok, többen megveszik • Enyém lesz a legkomplexebb rendszer és ez jó • Az egész Internetet meg tudom védeni • Egyetlen megoldással kiküszöbölöm a …….. problémát (vírus, spam, buffer overflow, hibás program, lehallgathatóság stb.) Budapest University of TE Boldizsár BENCSÁTH, 2004

  5. Segédeszközök • RBL listák ( ismert spammer, open relay, DSL/dialup vonal, rossz link (URL), stb.) • vírusírtó magok • antispam magok (már most is heurisztikus: statiszikai mag, ismert formák/formulák, hibák) • spammer reportoló eszközök • értesítést segítő eszközök (pl. ISP abuse@) Budapest University of TE Boldizsár BENCSÁTH, 2004

  6. Programeszközök • Fájlhozzáférés-védelme • Internethozzáférés/levelezés védelme beékelődéssel • Tartalomszűrő kapcsolódás • Tömörítő algoritmusok, mime kezelés Budapest University of TE Boldizsár BENCSÁTH, 2004

  7. Vírusírtás / spam mentesítés helye már a legelején nem kell mindent fogadni még a legvégén is szoktunk ellenőrizni komplex vírusvédelmi szerver Budapest University of TE Boldizsár BENCSÁTH, 2004

  8. Mire lenne szükség? • Már az elején eldobjam amit akarok • Ott is heurisztika kellhet, miért lenne „csak” RBL alapon, ám miért kellene végigellenőrizni mindent azonnal? • Hogy mit dobok el az „elején” az függhet attól, hogy mi történik a „végén” (user spamnek minősít vagy felismer egy fontos ügyfelet) Budapest University of TE Boldizsár BENCSÁTH, 2004

  9. archívum (md5) Syslog header checking daemonizált mag Visszajelzés karantén kimtömörítő 1 spamassassin client kimtömörítő 2 spamassassin daemon unzip Víruskereső mag 1 Bayes mag Víruskereső mag 2 „file” utility ClamAV daemon Razor (daemon) RBL 1,2,3 DCC minta: rendszer amavisd alapon Budapest University of TE Boldizsár BENCSÁTH, 2004

  10. No tehát, mi is a gond? • Hiányzik a rendszerszemlélet • moduláris programozás, elfogadott interfészekkel • igények szerinti összekötés • heurisztika minden szinten, jól testreszabható módon • így skálázható is lenne • egy helyen kell fejleszeni és hibákat javítani, nem tíz helyen • természetesen „egységcsomag” elképzelhető Budapest University of TE Boldizsár BENCSÁTH, 2004

  11. Ami miatt muszáj lenne… • egységes fellépés spammerek, vírusírók/terjesztők ellen • hatósággal, ISP-vel szabványosan kellene kommunikálni, de a géppel, ügyféllel is a későbbiekben • minden új ötlet leprogramozása minden cég által: pazarlás, ellenőrizhetetlenség • egyes szolgáltatások (pl. RBL) amúgy is központosítottak, a kereskedelmi gyártók is kihasználják. Budapest University of TE Boldizsár BENCSÁTH, 2004

  12. Miért nem lehet komponensekre építeni? • mert a szabványok / interfészek definiálása „strapás” • kereskedelmi termékek gyártói nem ismerték fel a fontosságát • mindenki úgy gondolja, hogy az ő szoftvere oldja meg a dolgokat • a komponensből pénzt csinálni nehéz • egy komponensként használt szolgáltatásból pénzt csinálni nehéz • a jogi környezet heterogén, pl. adatvédelmi gondok Budapest University of TE Boldizsár BENCSÁTH, 2004

  13. kihívások • Ki kell dolgozni hatékony komponenseket az újabb problémák megoldására, mint • egyéni védekezési lehetőségek, • statisztikai adatgyűjtés, • azonosítás, • visszajelzés, • tesztelés, • karanténozás, • mindezek távoli adminisztrációja és koordinációja tekintettel a hiányos információs viszonyokra, • … Budapest University of TE Boldizsár BENCSÁTH, 2004

  14. Bizalom alapú rendszerek • bizalom? • megbízható információ kulcskérdés, de nem megfelelően megoldott Budapest University of TE Boldizsár BENCSÁTH, 2004

  15. Projektjeink a témában • DoS/stb. SMTP frontend • Trap Email Address • VIRUSFLAGS (DNSRBL backend) • SPAM elleni koordináció • … Budapest University of TE Boldizsár BENCSÁTH, 2004

  16. DoS front-end DoS front-end engine senderMTA DoS front-end client TCP wrapper MTA-scanner middleware Virus scanner MTA Bernstein’s UCSPI-TCP wrapper package MDA Budapest University of TE Boldizsár BENCSÁTH, 2004

  17. TEA – Trap Email Address Értesítés bounce message (spam, virus) vírusírtás stb. reg.req. TEA kiadás vírus spammer lopott címet használ TEA a FROMmezőben cím lopás a hostról példa TEA: ili5.suto@oovk1.crysys.hu Budapest University of TE Boldizsár BENCSÁTH, 2004

  18. VIRUSFLAGS • cél: lekérdezni, „feladó-hamisítós” vírussal van-e dolgunk • ne a vírusirtó mondja ezt meg, hanem egy központi megbízható információtár • DNSRBL megoldással, speciális DNS feloldás, pl. „xn--WormSomeFoolP-sgai.xn--ClamAntivirus-clamd-jba.fakeemailsender.virusflags.com” • maga a szerver/átvitel másra is használható lesz Budapest University of TE Boldizsár BENCSÁTH, 2004

  19. SPAM jogi koordináció • VIRUSFLAGS-hez hasonló módszer, kihasználhatja annak moduljait • magyar spammerek nem hamisítják a feladót • magyar spammert listában gyűjtjük • ha újabb levél érkezik arról a címről, akkor a kliensek beküldik a kapott levelet a központi feldolgozónak • közös jogkezelés, szigorúbb eljárás Budapest University of TE Boldizsár BENCSÁTH, 2004

  20. Köszönöm. Bencsáth Boldizsár BME Híradástechnikai Tanszék Adatbiztonság Laboratórium bencsath@crysys.hu http://www.crysys.hu/ Budapest University of TE Boldizsár BENCSÁTH, 2004

More Related