Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut Max Diehn Leibniz-Rechenzentrum

Ähnliche Präsentationen


Präsentation zum Thema: "1 Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut Max Diehn Leibniz-Rechenzentrum"—  Präsentation transkript:

1 1 Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut Max Diehn Leibniz-Rechenzentrum

2 2 Das Spam Problem Spam macht oft schon 80 – 90 % des Mailaufkommens aus kostet Zeit und Geld, bei Empfängern und Mailprovidern Wo Spam herkommt: Analyse von Logdateien: aus Asien, USA, Europa, naher Osten von Spambots infizierte Windows PCs Diese arbeiten nach dem fire and forget Prinzip, d.h. sie emittieren Tausende von Spammails in kurzer Zeit Open Relays (fehlkonfigurierte Mailserver) werden von Spammern missbraucht

3 3 Rahmenbedingungen der Spambekämpfung False Positives müssen vermieden werden! Aus Usersicht viel wichtiger als Spamschutz Rechtslage: §206, 303a StGB, unbefugte Unterdrückung von Sendungen Rechtliche Empfehlungen für Admins, die Spam filtern: Eindeutige schriftliche Regelung mit Betriebsrat und Kunden Oder: Spam nur markieren; Kunde muss selber filtern opt in anbieten Das Internet ist vermascht: Mails gehen durch viele Hände Absender, Empfänger, Inhalt sind leicht zu fälschen Empfänger kann nur den letzten Schritt der Mail nachvollziehen Sicherung des kompletten Transportweges schwer

4 4 Ansätze (1): Blacklisting IP – Adressen eignen sich für schwarze Listen IP – Adresse des zustellenden Rechners kann nachvollzogen werden: schwer zu fälschen Also IP – basierte Sperrlisten Weltweit nutzbare Datenbanken (DNS basiert) Probleme damit: Neue, erstmals feuernde Spambots werden nicht erfasst. Deshalb Versuchung, ganze IP – Bereiche zu sperren Beispiel China, Häufig False Positives

5 5 Ansätze (2): Inhaltsanalysen Filtern von Begriffen / Inhaltsmerkmalen Prüfsummen bekannter Spam Mails (verteilte human detection Systeme) Bayes Filter Corpus mit Spam, Corpus mit guter Mail Neue Mail: deren Wörter bekommen eine Spamwahrscheinlichkeit anhand der vorhandenen Textkörper Die auffälligsten Wörter werden benutzt, um eine Gesamtwahrscheinlichkeit für die Mail zu errechnen

6 6 Ansätze (3): Greylisting Ist ein Verfahren zur Identifikation standardkonformer Mailserver Unbekannte Mailserver werden auf etwas später vertröstet (z.B. 10 Minuten) RFC 2821 fordert, dass die Gegenstelle dann den Zustellungsversuch wiederholt Server, die das tun, kommen in eine Datenbank (Reputationssystem) Spammer können Greylisting aushebeln, indem sie echte Mailserver betreiben – dann sind sie jedoch verwundbarer für Blacklists

7 7 Greylisting Einsatz am LRZ Vor- und Nachteile: + sehr wirksam + keine False Positives, keine rechtliche Grauzone + geringer Resourcenverbrauch (auch bei der Gegenstelle) + guter Schutz vor brandneuen Viren - Die 1.Mail von unbekannten Quellen wird um i.d.R. einige Minuten verzögert Wir setzen Greylisting (http://sqlgrey.sourceforge.net ) als 1.Line of Defense ein, dahinter Content Analyse und Virenscanner als 2.Linie. Wie sieht das in der Praxis aus?http://sqlgrey.sourceforge.net

8 8 Greylisting: Auswirkungen auf den eingehenden Verkehr Etwa 85% der ankommenden Mails werden abgewiesen (grau) – ausnahmslos Spam und Malware

9 9 Greylisting: Auswirkungen auf den eingehenden Verkehr Vergrößerung des grünen Bereichs der vorherigen Grafik – Rot markiert sind solche Mails, die *nicht* unverzögert durchgelassen werden (neue Mailquellen)

10 10 Was Greylisting von den eintreffenden Viren übrig lässt, frisst Sophos Mails, die Schädlinge enthalten, dürfen ohne Benachrichtigung von Sender oder Empfänger gelöscht werden (herrschende Auffassung zu §109 TKG)

11 11 Phishing Ziel: Passwörter, TAN-Nummern etc von gutgläubigen Usern zu phischen Merkmale: HTML Mails mit getarnten Links auf böse Server Social Engineering (noch) oft Rechtschreib- und Grammatikfehler Weiterführende Links: msg_id= &forum_id= msg_id= &forum_id=84158

12 12 Viren, Würmer und Trojaner Häufigste Verbreitungsarten: Attachments (häufig getarnt durch doppelte Endungen) Webseiten (Schwachstellen in Browsern) HTML – Mails Zentral Bekämpfbar: an den Mailrelays LRZ: Sophos und Clamav Dezentral Bekämpfbar: an den Arbeitsplatzrechnern Nur ein(!) Virenscanner neue Signaturen zentral verteilen Probleme der Signaturverteilung: Latenz, Polymorphie

13 13 Aktualisierung von Virensignaturen Aktualisierungspfad für neue Virensignaturen Server von Sophos Server am LRZ

14 14 Update auf den Clients, initiiert durch Server (push) Client up to date? Update Client (push), wenn nötig Server am LRZ Arbeitsplatzrechner

15 15 Update auf den Clients, initiiert durch Client (pull) Updates verfügbar? (z.B. nach Start des Arbeits- Platzrechners) Client holt update (pull), wenn verfügbar Server am LRZ Arbeitsplatzrechner

16 16 Sicherung von Arbeitsplatzrechnern Windows XP Probleme: Unsichere Defaults (z.B. HTML Mails, Ordneroptionen) User arbeiten als Admins (z.B. um leichter Software installieren zu können) Überlebensregeln Entfernen nicht benötigter Dienste (und Programme, z.B. Surfturbos o.Ä.!) Autoupdates für Betriebssystem und Anwendungen Netzwerkkonfiguration und Personal Firewall (nur eine!) Restriktive Browserkonfiguration (schwierig bei IE)

17 17 Ergänzung: Weitere Links Links zum Thema Viren, Würmer, Trojaner: Links zum Thema Sicherung von XP Arbeitsplätzen

18 18 Ergänzung: Weitere Konzepte gegen Spam SPF (Sender Policy Framework) Frequenzanalyse SMTP Sperren (zur Sicherung der eigenen Infrastruktur) Absender (Mail From) Verfikation Whitelists Kombinationen (z.B. Greylisting nur für dial ups) Bezahlverfahren (digitale Briefmarken) Näheres unter


Herunterladen ppt "1 Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut Max Diehn Leibniz-Rechenzentrum"

Ähnliche Präsentationen


Google-Anzeigen