Budapest University of TE Boldizsár BENCSÁTH, 2004 1 Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH Budapest University of Technology and Economics Laboratory of Cryptography and Systems Security http://www.crysys.hu/
Jan 05, 2016
Budapest University of TE Boldizsár BENCSÁTH, 2004 1
Az internetes vírus- és spamvédelem
rendszerszemléletben
Boldizsár BENCSÁTHBudapest University of Technology and EconomicsLaboratory of Cryptography and Systems Security
http://www.crysys.hu/
Budapest University of TE Boldizsár BENCSÁTH, 2004 2
Téveszmék a vírus/spam/kártékony kód elleni védelemről (1)
• Ha védem a szervert, a klienseket nem kell• Megveszem a védelmet és kész, beállítani, frissíteni,
kiegészítőt venni nem kell• Ha drága szoftver veszek az jobb lesz• Ha komplex megoldást vásárolok, az mindent tudni fog• Ha én védem magam, és nem fertőződöm meg, akkor
védett vagyok• Védett vagyok DoS támadásokkal szemben• Az én vírusirtóm mindent megtalál• Az én vírusirtóm gyorsabban frissül, mintsem a vírus ideér(ez mind nem igaz!)
Budapest University of TE Boldizsár BENCSÁTH, 2004 3
Téveszmék a vírus/spam/kártékony kód elleni védelemről (2)
• A vírusok sokat fejlődtek
• A vírusok elleni védekezés sokat fejlődött
• Sokkal ártalmasabbak a mai kódok
• A mai operációs rendszerek gyengék
• A mi felhasználóink képzettek
(ez mind nem igaz!)
Budapest University of TE Boldizsár BENCSÁTH, 2004 4
Téveszmék a vírus/spam/kártékony kód elleni védelemről (3)
• Ha komplex vírusvédelmi szoftvert árulok, többen megveszik
• Enyém lesz a legkomplexebb rendszer és ez jó
• Az egész Internetet meg tudom védeni• Egyetlen megoldással kiküszöbölöm a
…….. problémát (vírus, spam, buffer overflow, hibás program, lehallgathatóság stb.)
Budapest University of TE Boldizsár BENCSÁTH, 2004 5
Segédeszközök
• RBL listák ( ismert spammer, open relay, DSL/dialup vonal, rossz link (URL), stb.)
• vírusírtó magok
• antispam magok (már most is heurisztikus: statiszikai mag, ismert formák/formulák, hibák)
• spammer reportoló eszközök
• értesítést segítő eszközök (pl. ISP abuse@)
Budapest University of TE Boldizsár BENCSÁTH, 2004 6
Programeszközök
• Fájlhozzáférés-védelme
• Internethozzáférés/levelezés védelme beékelődéssel
• Tartalomszűrő kapcsolódás
• Tömörítő algoritmusok, mime kezelés
Budapest University of TE Boldizsár BENCSÁTH, 2004 7
Vírusírtás / spam mentesítés helye
KillVir
már a legelején nem kell mindent fogadni
még a legvégénis szoktunk ellenőrizni
komplex vírusvédelmiszerver
Budapest University of TE Boldizsár BENCSÁTH, 2004 8
Mire lenne szükség?
• Már az elején eldobjam amit akarok• Ott is heurisztika kellhet, miért lenne „csak”
RBL alapon, ám miért kellene végigellenőrizni mindent azonnal?
• Hogy mit dobok el az „elején” az függhet attól, hogy mi történik a „végén” (user spamnek minősít vagy felismer egy fontos ügyfelet)
Budapest University of TE Boldizsár BENCSÁTH, 2004 9
KillVir
daemonizált mag
Víruskereső mag 1
Víruskereső mag 2
ClamAVdaemon
„file” utility
kimtömörítő 1
kimtömörítő 2
unzip
Syslog
spamassassinclient
spamassassindaemon
RBL 1,2,3Razor (daemon)
DCC
Bayes mag
header
checking
Visszajelzés
karantén
archívum(md5)
minta: rendszer amavisd alapon
Budapest University of TE Boldizsár BENCSÁTH, 2004 10
No tehát, mi is a gond?• Hiányzik a rendszerszemlélet• moduláris programozás, elfogadott interfészekkel• igények szerinti összekötés• heurisztika minden szinten, jól testreszabható
módon• így skálázható is lenne• egy helyen kell fejleszeni és hibákat javítani, nem
tíz helyen• természetesen „egységcsomag” elképzelhető
Budapest University of TE Boldizsár BENCSÁTH, 2004 11
Ami miatt muszáj lenne…• egységes fellépés spammerek, vírusírók/terjesztők
ellen• hatósággal, ISP-vel szabványosan kellene
kommunikálni, de a géppel, ügyféllel is a későbbiekben
• minden új ötlet leprogramozása minden cég által: pazarlás, ellenőrizhetetlenség
• egyes szolgáltatások (pl. RBL) amúgy is központosítottak, a kereskedelmi gyártók is kihasználják.
Budapest University of TE Boldizsár BENCSÁTH, 2004 12
Miért nem lehet komponensekre építeni?
• mert a szabványok / interfészek definiálása „strapás”
• kereskedelmi termékek gyártói nem ismerték fel a fontosságát
• mindenki úgy gondolja, hogy az ő szoftvere oldja meg a dolgokat
• a komponensből pénzt csinálni nehéz• egy komponensként használt szolgáltatásból pénzt
csinálni nehéz• a jogi környezet heterogén, pl. adatvédelmi
gondok
Budapest University of TE Boldizsár BENCSÁTH, 2004 13
kihívások
Ki kell dolgozni hatékony komponenseket az újabb problémák megoldására, mint egyéni védekezési lehetőségek, statisztikai adatgyűjtés, azonosítás, visszajelzés, tesztelés, karanténozás, mindezek távoli adminisztrációja és koordinációja
tekintettel a hiányos információs viszonyokra, …
Budapest University of TE Boldizsár BENCSÁTH, 2004 14
Bizalom alapú rendszerek
• bizalom?
• megbízható információ kulcskérdés, de nem megfelelően megoldott
Budapest University of TE Boldizsár BENCSÁTH, 2004 15
Projektjeink a témában
• DoS/stb. SMTP frontend
• Trap Email Address
• VIRUSFLAGS (DNSRBL backend)
• SPAM elleni koordináció
• …
Budapest University of TE Boldizsár BENCSÁTH, 2004 16
MTA
TCP wrapper Virus
scannerMTA-scanner middleware
DoS front-end client
DoS front-end
engine
MDA
senderMTA
Bernstein’sUCSPI-TCP
wrapper package
DoS front-end
Budapest University of TE Boldizsár BENCSÁTH, 2004 17
TES
Host
Spamsource
Ownerof host
(5)(1)
(2)
(3/1)
(3/3b)3rd party
(3/2a)
(3/2b)
(4)
(3/3a)
reg.req.TEA kiadás
vírus
TEA a FROMmezőben
bounce message(spam, virus)
cím lopás a hostról
spammerlopott címet használ
Értesítés
vírusírtás stb.
TEA – Trap Email Address
példa TEA: [email protected]
Budapest University of TE Boldizsár BENCSÁTH, 2004 18
VIRUSFLAGS
• cél: lekérdezni, „feladó-hamisítós” vírussal van-e dolgunk
• ne a vírusirtó mondja ezt meg, hanem egy központi megbízható információtár
• DNSRBL megoldással, speciális DNS feloldás, pl. „xn--WormSomeFoolP-sgai.xn--ClamAntivirus-clamd-
jba.fakeemailsender.virusflags.com”• maga a szerver/átvitel másra is használható lesz
Budapest University of TE Boldizsár BENCSÁTH, 2004 19
SPAM jogi koordináció
• VIRUSFLAGS-hez hasonló módszer, kihasználhatja annak moduljait
• magyar spammerek nem hamisítják a feladót
• magyar spammert listában gyűjtjük
• ha újabb levél érkezik arról a címről, akkor a kliensek beküldik a kapott levelet a központi feldolgozónak
• közös jogkezelés, szigorúbb eljárás
Budapest University of TE Boldizsár BENCSÁTH, 2004 20
Köszönöm.
Bencsáth Boldizsár
BME Híradástechnikai Tanszék
Adatbiztonság Laboratórium
http://www.crysys.hu/