320 likes | 478 Vues
Vírusok és vírusvédelem Bódis Ákos, biztonsági szakértő. Magamról. Sunbelt VIPRE termékcsalád képviselet Magyarország + Románia és a környező országokban 12 éve dolgozom a szakmában: VirusBuster web/marketing 3 év ESET informatikai vezető 5 év Sunbelt ügyvezető 4 év. A kezdetek.
E N D
Magamról • Sunbelt VIPRE termékcsalád képviseletMagyarország + Románia és a környező országokban • 12 éve dolgozom a szakmában: • VirusBuster web/marketing 3 év • ESET informatikai vezető 5 év • Sunbelt ügyvezető 4 év
A kezdetek • 1971: Creeper féreg az ARPANET-en • 1983: „Számítógépes vírus” szóhasználat • 1986: Brain boot-szektor vírus,az első PC vírus (DOS) • 1994: OneHalf: az első „vírusom” • 1998: CIH vírus a BIOS-t is tönkreteszi
1999 – 2002 • 1999: Melissa makróvírus óriási email forgalmat generál • 2000: ILOVEYOU féreg 1 nap alatt az egész világban elterjed és 1000-2000 milliárd forint kárt okoz: ez Salgótarján 100-200 éves költségvetése • 2001: Anna Kournikova, Sircam, Code Red, Nimdaés Klez
2003 • 2003: SQL Slammer néhány másodperc alatt terjed szét a világon és 100.000 szervert fertőz meg az első pár percben • Ezévben érkezik meg a Blaster is:
2004: ismét izgalmas év • 2004: MyDoom: a leggyorsabban terjedő email féreg • Ezévben jön még a Netsky, Bagle, Sasser és megjelenik az első Virtumonde:
2005:pusztítás helyett lopakodás • Új szemlélet: a világméretű fertőzésekkel már nem kárt okoznak, hanem pénzt keresnek • Zlobtrójai megjelenése:videók lejátszásához szükséges kodek, felhasználói jóváhagyással települ
az első kártevő macre • 2006: Leap: az első trójai Mac OS X operációs rendszerre • 2007: Storm féreg több mint 10 millió számítógépből álló botnetet épít • Rustockrootkit a lopakodás iskolapéldája: hónapokig-évig? nem fedezik fel
Ezévben • 2010 június: Stuxnet felfedezéseSCADA ipari rendszereket támad, nukleáris létesítmények, elektromos hálózat, gyárak irányító rendszerei • Napjainkban háttérbe szorulnak a technikai megoldások, a felhasználót sokkal könnyebb rávenni egy trójai futtatására
Vírus, kémprogram, trójai? • Több mint 20 millió károkozó • A VIPRE kutatólaborjaiban napi30-60.000 vírusmintát elemeznek • Gyakorlatilag másodpercenként„születik” egy új vírusminta • Vírusnak hívunk mindent: kémprogram, trójai, rootkit, féreg, hátsó ajtó, stb.
A Vírus • Önmagát replikálni képes • Fertőző program Jelentős programozói tudást igényel, általában más programokhoz (vagy bootszektorhoz) hozzákapcsolódva fertőz tovább. Például: OneHalf
A FÉREG • Hálózaton terjedő károkozó • Önálló fájl, nem fertőz meg más programokat Sebezhetőségek kihasználásával terjed. Például: MyDoom (email) és Conficker (fájl)
A Trójai • Hasznos programnak tűnik, de mást (is) csinál mint amire tervezték • Trójai faló: Trójában másra számítottak Például: egy fertőzött számológép, ami a háttérben károkozókat tölt le és adatokat lop
A rootkit • Beépül az operációs rendszer magjába és még a víruskeresőtől is elrejti magát • Majd távolról fogad parancsokat és észrevétlenül teszi a feladatát • BIOS rootkit: új Windows telepítést is túlél Például: TDSS rootkit
A Hátsó ajtó (backdoor, RAT) • Hátsó ajtót nyit a számítógépen, vagyis távolról irányíthatóvá teszi a gépet • RAT = RemoteAdministrationTool Például: Mydoom 3127-es portontávirányíthatóvá teszi a fertőzött gépet
A Kémprogram (SpywarE) • Adatokat lop a számítógépről: • Billentyűzetlenyomásokat rögzít • Képernyőképeket küld • Követi a böngészést • Összegyűjti a dokumentumokat, emaileket • Ellopja a programlicenceket, játékkódokat • Ellopja a belépési adatokat (pl.: WoW) Például: Wowcraft jelszólopó, ellopja a WoW belépési adatokat amiket később eladnak
A reklámprogram (adware) • Kéretlen reklámokat jelenít meg • Figyeli a böngészőt és/vagy billentyűzetlenyomásokat, és az alapján jelenít meg kapcsolódó reklámot Például: böngészés közben váratlanul felugró reklámablak (ha nem a böngésző nyitotta).
Átverés (scareware) • Átveri a felhasználót, például vírusirtóként jelenik meg és több száz fertőzést mutat • A megoldáshoz pénzt kér és ráveszi a felhasználót a program megvásárlására Például: a rengeteg hamis antivírus
Malware • Az összes károkozótípust vírus helyett szakszerűen malwarenek hívjuk • Vírus: fájlokat fertőz • Féreg: hálózaton terjed • Trójai: mást tesz, mint aminek látszik • Rootkit: elrejti magát a kernelben • Hátsó ajtó: távolról irányíthatóvá teszi a gépet • Kémprogram: adatokat lop • Reklámprogram • Hamis antivírusok és átverések • A mai károkozók: ezek tetszőleges kombinációi
Mire megy ki az egész? • A kezdetekkor:hírnév és technikai demonstráció,„megmutatom, hogy lehet ilyet is” • Most: pénzszerzés és szervezett bűnözés, terrorizmus és katonai célok de hogy lesz ebből pénz?
Pénz, pénz, pénz • Szinte bármivel pénzt lehet keresni! • Fertőzött számítógépről minden ellopható: • Ellopják a bankkártya adatokat (billentyűzetnaplózás) • Ellopják a licenckulcsokat és újra eladják a programokat és játékokat • Ellopják az értékes belépési adatokat:banki kódokat, értékes virtuális javakat(WoW, póker, fogadás, stb…)
Pénz, pénz, pénz • Fertőzött számítógép bármire használható: • Milliószám küld spamet • Kibérelhető zsarolásra: 1 millió számítógép bármelyik cég honlapját megbénítja hetekre • Átveri a felhasználót hamis vírusirtókkal • Reklámokat jelenít meg • Kibérelhető bármilyen szuperszámítógépes feladatra, például titkosítás feltörése • Terrortámadás: Grúzia és Azerbajdzsán(dél-oszétiai háború idején)
Russian Business Network • Kiberbűnözés mintapéldája: • internetszolgáltató • vírusfejlesztő • Storm botnet irányítója(kb. 50 millió fertőzött gép) • 30-50 milliárd forint éves bevétel:a 7. leggazdagabb „magyar” lehetne egy év alatt a tulajdonos
Védekezés • 1989 júniusi Virus Bulletinmind a 30 db ismert vírus hexadecimális mintáját közreadják egy táblázatban:
A védelem problémája • Már 1989 óta a bűnözők vannak előnyben:a vírusvédelmek csak reagálni tudnak az új fenyegetésekre • Ez sosem fog meváltozni: ha adott egy védelem (például másolásvédelem), akkor azt valahogy ki lehet játszani • Vagy ki lehet kapcsoltatni a felhasználóval: átverések és adathalászat
Antivírusok • A vírusok terjedésével elkezd fejlődni az antivírus piac • A mai napig számos új technológia jelenik meg: a VIPRE vírusirtó is mindössze 3 éves • Egyre komplexebb védelmek: a régi megoldások lelassulnak, gyorsan elavulnak és átveszik a helyüket a teljesen újraírt víruskereső motorok
hogyan működik? VIPRE Antivirus Premium végpontvédelmi rendszer: • Óránként frissíti magát (adatbázis és program egyaránt) • Minden programot (.exe, .dll) ellenőriz futás előtt • Minden fájlt és adathordozót átvizsgál (pl.: autorun.inf) • Felügyeli a meglátogatott honlapokat és kiszűri az ismert káros weboldalakat • Szűri a hálózati forgalmat és blokkolja a káros szerverekkel való kapcsolatfelvételt • Átvizsgálja az emaileket és eltávolítja a férgeket, a fertőzött fájlokat és a káros linkeket • Megállítja a sebezhetőségek elleni hálózati támadásokat • Blokkolja a gyanús programokat (pl: kódinjektálás)
hogyan ismerjük fel a károkozót? • Egyezés egy már azonosított kártevővel • Pl.: név alapján letartóztatott bűnöző • Heurisztikus elemzés • Pl.: letartóztatás fegyverviselés miatt • Viselkedéselemzés • Pl.: agresszív vagy gyanús viselkedés miatt • Program működésének felügyelete • Pl.: bolti lopás azonosítása kamerával
MX-Virtualization A memóriában futtatás nélkül vizsgálja a program viselkedését: • kivágja a „hosszabb” kódrészleteket: például egy 1000x lefutó ciklusnál az a lényeg, hogy mit csinál, nem az hogy hányszor • gyanús viselkedést keres: programfájlok írása, szokatlan hálózati kommunikáció (például email közvetlen kiküldése), dokumentumok összegyűjtése, billentyűzetlenyomások figyelése, stb…
Felhasználó szerepe • A high-tech, folyamatosan fejlődő víruselemző módszerek mellett elkerülhetetlen a felhasználó felelőssége • Idegen fájlok, gyanús csatolmányok megnyitása • Átlátszó átverések: miért felejti el a bankom a jelszavamat? • Ha megtörtént a fertőzés: hibaüzenetek, lefagyások, adatvesztés
mit csináljunk fertőzés esetén? • Töltsünk le egy mentőeszközt, például az ingyenes VIPRE Rescue • Húzzuk ki a számítógép hálózati kapcsolatát, hogy ne frissüljön/működjön a kártevő • Próbáljunk csökkentett módban víruskeresést indítani • Forduljunk szakemberhez,vagy Windows újratelepítés/visszaállítás
Köszönöm a figyelmet! Megtalálhattok bennünket a honlapunkon: www.vipre.hu