Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut

Präsentation zum Thema: "Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut"—  Präsentation transkript:

1 Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut
Max Diehn Leibniz-Rechenzentrum

2 Das Spam Problem Spam macht oft schon 80 – 90 % des Mailaufkommens aus
kostet Zeit und Geld, bei Empfängern und Mailprovidern Wo Spam herkommt: Analyse von Logdateien: aus Asien, USA, Europa, naher Osten von Spambots infizierte Windows PCs Diese arbeiten nach dem “fire and forget” Prinzip, d.h. sie emittieren Tausende von Spammails in kurzer Zeit Open Relays (fehlkonfigurierte Mailserver) werden von Spammern missbraucht

3 Rahmenbedingungen der Spambekämpfung
False Positives müssen vermieden werden! Aus Usersicht viel wichtiger als Spamschutz Rechtslage: §206, 303a StGB, unbefugte Unterdrückung von Sendungen Rechtliche Empfehlungen für Admins, die Spam filtern: Eindeutige schriftliche Regelung mit Betriebsrat und Kunden Oder: Spam nur markieren; Kunde muss selber filtern “opt in” anbieten Das Internet ist vermascht: Mails gehen durch viele Hände Absender, Empfänger, Inhalt sind leicht zu fälschen Empfänger kann nur den letzten Schritt der Mail nachvollziehen Sicherung des kompletten Transportweges schwer

4 Ansätze (1): Blacklisting
IP – Adressen eignen sich für “schwarze Listen” IP – Adresse des zustellenden Rechners kann nachvollzogen werden: schwer zu fälschen Also IP – basierte Sperrlisten Weltweit nutzbare Datenbanken (DNS basiert) Probleme damit: Neue, erstmals feuernde Spambots werden nicht erfasst. Deshalb Versuchung, ganze IP – Bereiche zu sperren Beispiel China, Häufig False Positives

5 Ansätze (2): Inhaltsanalysen
Filtern von Begriffen / Inhaltsmerkmalen Prüfsummen bekannter Spam Mails (“verteilte human detection Systeme”) Bayes Filter Corpus mit Spam, Corpus mit “guter” Mail Neue Mail: deren Wörter bekommen eine Spamwahrscheinlichkeit anhand der vorhandenen Textkörper Die auffälligsten Wörter werden benutzt, um eine Gesamtwahrscheinlichkeit für die Mail zu errechnen

6 Ansätze (3): Greylisting
Ist ein Verfahren zur Identifikation standardkonformer Mailserver Unbekannte Mailserver werden auf etwas später vertröstet (z.B. 10 Minuten) RFC 2821 fordert, dass die Gegenstelle dann den Zustellungsversuch wiederholt Server, die das tun, kommen in eine Datenbank (Reputationssystem) Spammer können Greylisting aushebeln, indem sie echte Mailserver betreiben – dann sind sie jedoch verwundbarer für Blacklists

7 Greylisting Einsatz am LRZ
Vor- und Nachteile: + sehr wirksam + keine False Positives, keine rechtliche Grauzone + geringer Resourcenverbrauch (auch bei der Gegenstelle) + guter Schutz vor brandneuen Viren - Die 1.Mail von unbekannten Quellen wird um i.d.R. einige Minuten verzögert Wir setzen Greylisting ( ) als 1.Line of Defense ein, dahinter Content Analyse und Virenscanner als 2.Linie. Wie sieht das in der Praxis aus?

8 Greylisting: Auswirkungen auf den eingehenden Verkehr
Etwa 85% der ankommenden Mails werden abgewiesen (grau) – ausnahmslos Spam und Malware

9 Greylisting: Auswirkungen auf den eingehenden Verkehr
Vergrößerung des grünen Bereichs der vorherigen Grafik – Rot markiert sind solche Mails, die *nicht* unverzögert durchgelassen werden (neue Mailquellen)

10 Was Greylisting von den eintreffenden Viren übrig lässt, frisst Sophos
Mails, die Schädlinge enthalten, dürfen ohne Benachrichtigung von Sender oder Empfänger gelöscht werden (herrschende Auffassung zu §109 TKG)

11 Phishing Ziel: Passwörter, TAN-Nummern etc von gutgläubigen Usern zu “phischen” Merkmale: HTML Mails mit getarnten Links auf “böse” Server Social Engineering (noch) oft Rechtschreib- und Grammatikfehler Weiterführende Links:

12 Viren, Würmer und Trojaner
Häufigste Verbreitungsarten: Attachments (häufig getarnt durch doppelte Endungen) Webseiten (Schwachstellen in Browsern) HTML – Mails Zentral Bekämpfbar: an den Mailrelays LRZ: Sophos und Clamav Dezentral Bekämpfbar: an den Arbeitsplatzrechnern Nur ein(!) Virenscanner neue Signaturen zentral verteilen Probleme der Signaturverteilung: Latenz, Polymorphie

13 Aktualisierung von Virensignaturen
Aktualisierungspfad für neue Virensignaturen Server von Sophos Server am LRZ

14 Update auf den Clients, initiiert durch Server (“push”)
Client up to date? Update Client (push), wenn nötig Server am LRZ Arbeitsplatzrechner

15 Update auf den Clients, initiiert durch Client (“pull”)
Updates verfügbar? (z.B. nach Start des Arbeits- Platzrechners) Client holt update (pull), wenn verfügbar Server am LRZ Arbeitsplatzrechner

16 Sicherung von Arbeitsplatzrechnern
Windows XP Probleme: Unsichere Defaults (z.B. HTML Mails, Ordneroptionen) User arbeiten als Admins (z.B. um leichter Software installieren zu können) Überlebensregeln Entfernen nicht benötigter Dienste (und Programme, z.B. “Surfturbos” o.Ä.!) Autoupdates für Betriebssystem und Anwendungen Netzwerkkonfiguration und Personal Firewall (nur eine!) Restriktive Browserkonfiguration (schwierig bei IE)

17 Ergänzung: Weitere Links
Links zum Thema Viren, Würmer, Trojaner: Links zum Thema Sicherung von XP Arbeitsplätzen

18 Ergänzung: Weitere Konzepte gegen Spam
SPF (Sender Policy Framework) Frequenzanalyse SMTP Sperren (zur Sicherung der eigenen Infrastruktur) Absender (Mail From) Verfikation Whitelists Kombinationen (z.B. Greylisting nur für dial ups) Bezahlverfahren (digitale Briefmarken) Näheres unter