Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH

Budapest University of TE Boldizsár BENCSÁTH, 2004 1

Az internetes vírus- és spamvédelem

rendszerszemléletben

Boldizsár BENCSÁTHBudapest University of Technology and EconomicsLaboratory of Cryptography and Systems Security

http://www.crysys.hu/


Téveszmék a vírus/spam/kártékony kód elleni védelemről (1)

• Ha védem a szervert, a klienseket nem kell• Megveszem a védelmet és kész, beállítani, frissíteni,

kiegészítőt venni nem kell• Ha drága szoftver veszek az jobb lesz• Ha komplex megoldást vásárolok, az mindent tudni fog• Ha én védem magam, és nem fertőződöm meg, akkor

védett vagyok• Védett vagyok DoS támadásokkal szemben• Az én vírusirtóm mindent megtalál• Az én vírusirtóm gyorsabban frissül, mintsem a vírus ideér(ez mind nem igaz!)



• A vírusok sokat fejlődtek

• A vírusok elleni védekezés sokat fejlődött

• Sokkal ártalmasabbak a mai kódok

• A mai operációs rendszerek gyengék

• A mi felhasználóink képzettek

(ez mind nem igaz!)



• Ha komplex vírusvédelmi szoftvert árulok, többen megveszik

• Enyém lesz a legkomplexebb rendszer és ez jó

• Az egész Internetet meg tudom védeni• Egyetlen megoldással kiküszöbölöm a

…….. problémát (vírus, spam, buffer overflow, hibás program, lehallgathatóság stb.)


Segédeszközök

• RBL listák ( ismert spammer, open relay, DSL/dialup vonal, rossz link (URL), stb.)

• vírusírtó magok

• antispam magok (már most is heurisztikus: statiszikai mag, ismert formák/formulák, hibák)

• spammer reportoló eszközök

• értesítést segítő eszközök (pl. ISP abuse@)


Programeszközök

• Fájlhozzáférés-védelme

• Internethozzáférés/levelezés védelme beékelődéssel

• Tartalomszűrő kapcsolódás

• Tömörítő algoritmusok, mime kezelés


Vírusírtás / spam mentesítés helye

KillVir

már a legelején nem kell mindent fogadni

még a legvégénis szoktunk ellenőrizni

komplex vírusvédelmiszerver


Mire lenne szükség?

• Már az elején eldobjam amit akarok• Ott is heurisztika kellhet, miért lenne „csak”

RBL alapon, ám miért kellene végigellenőrizni mindent azonnal?

• Hogy mit dobok el az „elején” az függhet attól, hogy mi történik a „végén” (user spamnek minősít vagy felismer egy fontos ügyfelet)


KillVir

daemonizált mag

Víruskereső mag 1

Víruskereső mag 2

ClamAVdaemon

„file” utility

kimtömörítő 1

kimtömörítő 2

unzip

Syslog

spamassassinclient

spamassassindaemon

RBL 1,2,3Razor (daemon)

DCC

Bayes mag

header

checking

Visszajelzés

karantén

archívum(md5)

minta: rendszer amavisd alapon


No tehát, mi is a gond?• Hiányzik a rendszerszemlélet• moduláris programozás, elfogadott interfészekkel• igények szerinti összekötés• heurisztika minden szinten, jól testreszabható

módon• így skálázható is lenne• egy helyen kell fejleszeni és hibákat javítani, nem

tíz helyen• természetesen „egységcsomag” elképzelhető


Ami miatt muszáj lenne…• egységes fellépés spammerek, vírusírók/terjesztők

ellen• hatósággal, ISP-vel szabványosan kellene

kommunikálni, de a géppel, ügyféllel is a későbbiekben

• minden új ötlet leprogramozása minden cég által: pazarlás, ellenőrizhetetlenség

• egyes szolgáltatások (pl. RBL) amúgy is központosítottak, a kereskedelmi gyártók is kihasználják.


Miért nem lehet komponensekre építeni?

• mert a szabványok / interfészek definiálása „strapás”

• kereskedelmi termékek gyártói nem ismerték fel a fontosságát

• mindenki úgy gondolja, hogy az ő szoftvere oldja meg a dolgokat

• a komponensből pénzt csinálni nehéz• egy komponensként használt szolgáltatásból pénzt

csinálni nehéz• a jogi környezet heterogén, pl. adatvédelmi

gondok


kihívások

Ki kell dolgozni hatékony komponenseket az újabb problémák megoldására, mint egyéni védekezési lehetőségek, statisztikai adatgyűjtés, azonosítás, visszajelzés, tesztelés, karanténozás, mindezek távoli adminisztrációja és koordinációja

tekintettel a hiányos információs viszonyokra, …


Bizalom alapú rendszerek

• bizalom?

• megbízható információ kulcskérdés, de nem megfelelően megoldott


Projektjeink a témában

• DoS/stb. SMTP frontend

• Trap Email Address

• VIRUSFLAGS (DNSRBL backend)

• SPAM elleni koordináció

• …


MTA

TCP wrapper Virus

scannerMTA-scanner middleware

DoS front-end client

DoS front-end

engine

MDA

senderMTA

Bernstein’sUCSPI-TCP

wrapper package

DoS front-end


TES

Host

Spamsource

Ownerof host

(5)(1)

(2)

(3/1)

(3/3b)3rd party

(3/2a)

(3/2b)

(4)

(3/3a)

reg.req.TEA kiadás

vírus

TEA a FROMmezőben

bounce message(spam, virus)

cím lopás a hostról

spammerlopott címet használ

Értesítés

vírusírtás stb.

TEA – Trap Email Address

példa TEA: [email protected]


VIRUSFLAGS

• cél: lekérdezni, „feladó-hamisítós” vírussal van-e dolgunk

• ne a vírusirtó mondja ezt meg, hanem egy központi megbízható információtár

• DNSRBL megoldással, speciális DNS feloldás, pl. „xn--WormSomeFoolP-sgai.xn--ClamAntivirus-clamd-

jba.fakeemailsender.virusflags.com”• maga a szerver/átvitel másra is használható lesz


SPAM jogi koordináció

• VIRUSFLAGS-hez hasonló módszer, kihasználhatja annak moduljait

• magyar spammerek nem hamisítják a feladót

• magyar spammert listában gyűjtjük

• ha újabb levél érkezik arról a címről, akkor a kliensek beküldik a kapott levelet a központi feldolgozónak

• közös jogkezelés, szigorúbb eljárás


Köszönöm.

Bencsáth Boldizsár

BME Híradástechnikai Tanszék

Adatbiztonság Laboratórium

[email protected]

http://www.crysys.hu/

Az internetes vírus- és spamvédelem rendszerszemléletben Boldizsár BENCSÁTH

Documents