1 / 18

Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut

Max Diehn Leibniz-Rechenzentrum diehn@lrz.de. Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut. Das Spam Problem. Spam macht oft schon 80 – 90 % des Mailaufkommens aus kostet Zeit und Geld, bei Empfängern und Mailprovidern Wo Spam herkommt:

ramona
Download Presentation

Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Max Diehn Leibniz-Rechenzentrum diehn@lrz.de Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut

  2. Das Spam Problem • Spam macht oft schon 80 – 90 % des Mailaufkommens aus • kostet Zeit und Geld, bei Empfängern und Mailprovidern • Wo Spam herkommt: • Analyse von Logdateien: aus Asien, USA, Europa, naher Osten • von Spambots infizierte Windows PCs • Diese arbeiten nach dem “fire and forget” Prinzip, d.h. sie emittieren Tausende von Spammails in kurzer Zeit • Open Relays (fehlkonfigurierte Mailserver) werden von Spammern missbraucht

  3. Rahmenbedingungen der Spambekämpfung • False Positives müssen vermieden werden! • Aus Usersicht viel wichtiger als Spamschutz • Rechtslage: §206, 303a StGB, unbefugte Unterdrückung von Sendungen http://www.heise.de/newsticker/meldung/55201 • Rechtliche Empfehlungen für Admins, die Spam filtern: • Eindeutige schriftliche Regelung mit Betriebsrat und Kunden • Oder: Spam nur markieren; Kunde muss selber filtern • “opt in” anbieten • Das Internet ist vermascht: Mails gehen durch viele Hände • Absender, Empfänger, Inhalt sind leicht zu fälschen • Empfänger kann nur den letzten Schritt der Mail nachvollziehen • Sicherung des kompletten Transportweges schwer

  4. Ansätze (1): Blacklisting • IP – Adressen eignen sich für “schwarze Listen” • IP – Adresse des zustellenden Rechners kann nachvollzogen werden: schwer zu fälschen • Also IP – basierte Sperrlisten • Weltweit nutzbare Datenbanken (DNS basiert) • Probleme damit: • Neue, erstmals feuernde Spambots werden nicht erfasst. Deshalb Versuchung, ganze IP – Bereiche zu sperren • Beispiel China, http://www.securityfocus.com/columnists/350 • Häufig False Positives

  5. Ansätze (2): Inhaltsanalysen • Filtern von Begriffen / Inhaltsmerkmalen • Prüfsummen bekannter Spam Mails (“verteilte human detection Systeme”) • Bayes Filter • Corpus mit Spam, Corpus mit “guter” Mail • Neue Mail: deren Wörter bekommen eine Spamwahrscheinlichkeit anhand der vorhandenen Textkörper • Die auffälligsten Wörter werden benutzt, um eine Gesamtwahrscheinlichkeit für die Mail zu errechnen • http://www.paulgraham.com/spam.html

  6. Ansätze (3): Greylisting • Ist ein Verfahren zur Identifikation standardkonformer Mailserver • Unbekannte Mailserver werden auf etwas später vertröstet (z.B. 10 Minuten) • RFC 2821 fordert, dass die Gegenstelle dann den Zustellungsversuch wiederholt • Server, die das tun, kommen in eine Datenbank (Reputationssystem) • http://www.greylisting.org • Spammer können Greylisting aushebeln, indem sie echte Mailserver betreiben – dann sind sie jedoch verwundbarer für Blacklists

  7. Greylisting Einsatz am LRZ • Vor- und Nachteile: + sehr wirksam + keine False Positives, keine rechtliche Grauzone + geringer Resourcenverbrauch (auch bei der Gegenstelle) + guter Schutz vor brandneuen Viren - Die 1.Mail von unbekannten Quellen wird um i.d.R. einige Minuten verzögert Wir setzen Greylisting (http://sqlgrey.sourceforge.net ) als 1.Line of Defense ein, dahinter Content Analyse und Virenscanner als 2.Linie. Wie sieht das in der Praxis aus?

  8. Greylisting: Auswirkungen auf den eingehenden Verkehr Etwa 85% der ankommenden Mails werden abgewiesen (grau) – ausnahmslos Spam und Malware

  9. Greylisting: Auswirkungen auf den eingehenden Verkehr Vergrößerung des grünen Bereichs der vorherigen Grafik – Rot markiert sind solche Mails, die *nicht* unverzögert durchgelassen werden (neue Mailquellen)

  10. Was Greylisting von den eintreffenden Viren übrig lässt, frisst Sophos Mails, die Schädlinge enthalten, dürfen ohne Benachrichtigung von Sender oder Empfänger gelöscht werden (herrschende Auffassung zu §109 TKG)

  11. Phishing • Ziel: Passwörter, TAN-Nummern etc von gutgläubigen Usern zu “phischen” • Merkmale: • HTML Mails mit getarnten Links auf “böse” Server • Social Engineering • (noch) oft Rechtschreib- und Grammatikfehler • Weiterführende Links: • http://www.heise.de/security/news/meldung/63249 • http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=8747534&forum_id=84158

  12. Viren, Würmer und Trojaner • Häufigste Verbreitungsarten: • Attachments (häufig getarnt durch doppelte Endungen) • Webseiten (Schwachstellen in Browsern) • HTML – Mails • Zentral Bekämpfbar: an den Mailrelays • LRZ: Sophos und Clamav • Dezentral Bekämpfbar: an den Arbeitsplatzrechnern • Nur ein(!) Virenscanner • neue Signaturen zentral verteilen • Probleme der Signaturverteilung: Latenz, Polymorphie

  13. Aktualisierung von Virensignaturen Aktualisierungspfad für neue Virensignaturen Server von Sophos Server am LRZ

  14. Update auf den Clients, initiiert durchServer (“push”) Client up to date? Update Client (push), wenn nötig Server am LRZ Arbeitsplatzrechner

  15. Update auf den Clients, initiiert durchClient (“pull”) Updates verfügbar? (z.B. nach Start des Arbeits- Platzrechners) Client holt update (pull), wenn verfügbar Server am LRZ Arbeitsplatzrechner

  16. Sicherung von Arbeitsplatzrechnern • Windows XP Probleme: • Unsichere Defaults (z.B. HTML Mails, Ordneroptionen) • User arbeiten als Admins (z.B. um leichter Software installieren zu können) • Überlebensregeln • Entfernen nicht benötigter Dienste (und Programme, z.B. “Surfturbos” o.Ä.!) • Autoupdates für Betriebssystem und Anwendungen • Netzwerkkonfiguration und Personal Firewall (nur eine!) • Restriktive Browserkonfiguration (schwierig bei IE)

  17. Ergänzung: Weitere Links • Links zum Thema Viren, Würmer, Trojaner: • http://www.rrzn.uni-hannover.de/buch.html?&no_cache=1&titel=netzwerke_sich • http://www.lrz-muenchen.de/services/security/antivirus/ • http://www.sophos.de/pressoffice/pressrel/20000516bayer.html • http://www.bsi.de/literat/studien/antispam/antispam.pdf • Links zum Thema Sicherung von XP Arbeitsplätzen • http://www.lrz-muenchen.de/services/betriebssysteme/nt/w2ksicherheit/ • http://www-pc.uni-regensburg.de/systemsw/

  18. Ergänzung: Weitere Konzepte gegen Spam • SPF (Sender Policy Framework) • Frequenzanalyse • SMTP Sperren (zur Sicherung der eigenen Infrastruktur) • Absender (Mail From) Verfikation • Whitelists • Kombinationen (z.B. Greylisting nur für dial ups) • Bezahlverfahren (digitale Briefmarken) Näheres unter http://www.bsi.de/literat/studien/antispam/antispam.pdf

More Related