Computerviren © 2002 IKARUS Software
Z I E L S E T Z U N G : Risiko-Bewertung Richtige Einschätzung der Situation; wie sehen mögliche Bedrohungsszenarien für meinen Bereich/Umfeld aus. Analyse des Bedrohungspotentials Welche Auswirkungen haben diese Szenarien auf mich/Workflow/Unternehmensführung/Unternehmenserfolg Entscheidungsgrundlagen Für die Beurteilung „Ihrer“ Virenschutzmaßnahmen; Wissen um die Erstellung einer modernen Antivirus-Policy Realisierung / Umsetzung einer vitalen „virus-wall“ auf unterschiedlichen Netzwerk-Ebenen; Praktische Umsetzung der getroffenen Antivirus-Policy © 2002 IKARUS Software
Schritt Was sind Viren Client-Virenschutz Womit & mit wem Sie es zu tun haben Administration Infektionswege Virenschutz auf Mailgateways Wie kann man sich schützen Was unternehme ICH im Moment dagegen ? © 2002 IKARUS Software
Was sind Viren Biologische Vergleiche/Namensgebung Wie entstehen Computerviren Woraus bestehen und wie arbeiten sie Welche Typen gibt es © 2002 IKARUS Software
Was sind Viren © 2002 IKARUS Software
Viren: rechtliche Lage © 2002 IKARUS Software
Was sind Viren © 2002 IKARUS Software
Virus Typen (Grobgliederung) Boot-Viren (ParityBoot/Angelina) File-Viren (Tequilla,CIH) Makro-Viren (CAP/Laroux;Ethan) VBS (Skript)-Viren (Loveletter,Freelink) Würmer (Happy99, PrettyPark) Trojaner (NetBus, BackOriffice) Sonstige (IRC.StagesA, Toadie) © 2002 IKARUS Software
Chronologie einer Entwicklung 1949: die Theorie entsteht die 70er: der erste „Spiel“-Wurm der Geschichte kommt auf (CoreWars) 1981: der Begriff „Computervirus“ wird eingeführt 1983: das erste funktionsfähige Virus wird von Fred Cohen programmiert 1985: ein trojanisches Pferd löscht Dateien auf der Festplatte 1986: das Bootsektor Virus „VIRDEM“ wird vorgestellt. Erste Virusinfektion auf einem Großrechner erstes MS-DOS Virus aus Pakistan verbreitet sich bis in die USA die ersten Virenscanner kommen auf den Markt 1987: das erste Apple-Virus wird bekannt die zweite Generation der Viren entstehen 1989: Polymorphe (vielgestaltige) Viren werden gefunden
Chronologie einer Entwicklung 1991: die Anzahl der neu gefundenen Viren wächst explosionsartig an die ersten Organisationen im Kampf gegen Computerviren entstehen 1992: 2.000 Viren sind bekannt! Darunter „Michelangelo“ 1993: 2-3 neue Viren/Monat 1995: der Damm bricht! Windows-Viren, Macro-Viren, plattformübergreifende Viren... 1996: über 10.000 verschiedene Viren-Varianten sind bekannt 1997: erstes Linux-Virus 1998: Java wird von den Virenschreibern entdeckt, erstes „Hard-Ware“ Virus 1999: Happy 99 bleibt über Jahre aktiv 2000: 4. Mai 2000 LoveLetter verändert das Denken in der Virenszene!
Anteilige Verbreitung Quelle: ICSA, Virus-Survey 1999 © 2002 IKARUS Software
Wie sah es im Jahr 2000 aus Quelle: ICSA, Virus-Survey 2000 © 2002 IKARUS Software
Risiko von Attacken © 2002 IKARUS Software Quelle: ICSA
Wie groß ist die Gefahr? © 2002 IKARUS Software Quelle: ICSA
Wie groß ist die Gefahr? Emails: Infektionsrate 2001 -2002 © 2002 IKARUS Software Quelle: Messagelabs/UK
Wie groß ist die Gefahr? © 2002 IKARUS Software Quelle: ICSA
Wahrscheinlichkeit von Virenattacken © 2002 IKARUS Software Quelle: ICSA
Die häufigsten Infektionswege © 2002 IKARUS Software Quelle: ICSA
4. Mai–Liebesbrief geht um die Welt Quelle: Messagelabs/UK © 2002 IKARUS Software
SirCAM - Virus Quelle: Messagelabs/UK © 2002 IKARUS Software
Verluste durch Virus Incidents © 2002 IKARUS Software Quelle: ICSA
Down-Time Aufgrund Viren © 2002 IKARUS Software Quelle: ICSA
Wer dahinter steckt David Smith („Melissa“) USA, 26 Jahre, männlich Cheng Ing-Hau („CIH“ alias Tschernobyl) Taiwan, 25 Jahre, männlich Onel Guzman („LoveLetter“) Philippinen, 23 Jahre, männlich Jan de Wit alias „On the fly“(„Kournikova“) Niederlande, 20 Jahre, männlich... © 2002 IKARUS Software
Ihre „Message“ FUCK U IMMEDIATELY, LOSER ! I HAVE NO RATIO "Kill them all...let god sort them out " This begins a time of darkness. From now until Yule, the days grow darker and colder. Winter storms begin to sweep down from the north” long live to the writers..... may the source be with you he, your lame client cant read HTML, haha click attachment to see some stunningly HOT stuff w i n d o w s s u c k s The Dark is Ready... © 2002 IKARUS Software
Mit wem Sie es zu tun haben AleVirus babyvirii Acid Bytes Angus Thermopyle Algol AuroDreph AkKort Asmodeus Apoc Anaktos Assembler Head © 2002 IKARUS Software
Wie sind sie organisiert *-zine, 29A, Cyber Criminals Clan, Alternative Virus Mafia, CodeBreakers, Corean Virus Club, Dark Conspiracy, DDT, Duke´s Virus Labs, Feathered Serpents, IKX, Immortal Riot, LineZer0 VX Team, [MATRiX], Metaphase VX Team, Moonbug, Nomercy Virus Team, NOP, Nuke, Pinoy Virus Writers, Renegade, Shadow Dancer Team, Shadow Virus Group, Silicium Revolte, Stealth Group, Sign Of Scream, SLAM, Technological Illusions, VBB, VLAD and all the other live/died virii groups. Alta-Virus, Association of Satanic Maniacs, AVX, Collection Maker Home Page, Drop the virus, DVC, HCDS, Hecatombe, Hex Files, Internet Virii Collecting Group, Kefrens, My Fantasy Viruses Trading Centre, nUcLeii's world, Realm Electronic Magazine, Siberian Bears Virus Club, SpyjureNet Virus, The Virus Bunkerz, Top Device, Ultimate Chaos, Undernet #virus's, Virii Argentina, Virus Brasil, Virus Dungeon, Virus Info Center, Virus List, Virus Quarantine, VXD-NET, VX Heavens, VX India © 2002 IKARUS Software
Do-It-Your Self Baussatz oder; Virenschreiben für Dummies DarkChasm's Word 97 Macro Virus Construction Kit Folgende Makros stehen zur Wahl: AutoOpen AutoClose FileSaveAs FileSave FilePrint EditFind ToolsWordCount Nach Betätigung der Schaltfläche OK erzeugt das MVCK automatisch ein Dokument das mit einem funktionsfähigen Makrovirus infiziert ist. © 2002 IKARUS Software © 2002 IKARUS Software
WURM - Generator oder; Virenschreiben für Dummies [K]Alamar VBS Worm Generator © 2002 IKARUS Software © 2002 IKARUS Software
Trojan - Generator oder; Trojanerschreiben für Dummies © 2002 IKARUS Software © 2002 IKARUS Software
Scanner – Strategien Technologie-Basierend ON – DEMAND „manuelle“ Scanen von Anwenderdefinierten Dateien ON – ACCESS „online“ – Überwachung von allen virenrelevanten Systemvorgängen Oneline-Wächtern (Guard, Shield, etc) Scanen auf „Knopfdruck“ Gateway-Scannern (Mailwall, Viruswalls, etc Scheduler - „Getriggert“ Browser - Plugin Applikationsbasierend (Integration einer Scanner-dll) © 2002 IKARUS Software © 2002 IKARUS Software
Scanner – Strategien „Organisations“-Basierend Black – List - Ansatz VORDEFINIERTE Dateien (-Typen) oder Inhalte DÜRFEN NICHT ausgeführt oder verbreitet werden Erfordert genaue Analyse möglicher Bedrohungs-Szenarien der für den Arbeitsprozess eingesetzten Systeme, Dateien und Mitarbeiter. Unterschiedliche Gruppendefinitionen ermöglichen einen optimal angepassten Virenschutz Weniger restriktiv, ermöglich jedoch ein flexibleres Risikomanagement, allerdings extrem wartungsintensiv © 2002 IKARUS Software © 2002 IKARUS Software
Standorte der Virenscanner Virus Scan Virus Scan Proxy R.I.P. Firewall Virus Scan Mailserver Fileserver Clients Virus Scan Provider Virus Scan © 2002 IKARUS Software
das leidige Thema © 2001 IKARUS Software © 2002 IKARUS Software
der neue Weg © 2001 IKARUS Software © 2002 IKARUS Software
gehosteter Virenschutz über IKARUS Scan-Center über ISP © 2001 IKARUS Software © 2002 IKARUS Software
gehosteter Virenschutz hat einen Namen © 2001 IKARUS Software © 2002 IKARUS Software
ISP/ASP Vorteile Nachteile Provider vorverlegte „First Line of Defense“ nur „vorgefilterter“ Traffic/geringerer Anteil an Viren höchste Ausfall-Sicherheit /Entsprechendes Know-how keine Installation Problem wird zum Teil „outgesourced“ – eigene Ressourcen werden geschont 24h x 7 Tage Wartung der Software Scannt den gesamten SMTP-Verkehr mit Hilfe von 3 verschiedenen Scannern Benachrichtigt Sie über Incidents per Email Provider Nachteile - interner Mailverkehr wird nicht überprüft; - nicht alle Inhalte können gescannt werden (Verschlüsselung, Passwörter); © 2002 IKARUS Software
ISP/ASP © 2002 IKARUS Software
ISP/ASP © 2002 IKARUS Software
Firewall/Proxy/Mailserver Vorteile zentrale Verwaltung nicht nur E-Mail Scan (auch HTTP, FTP) vermeidet, daß Viren bis auf LAN Server gelangen Verhindert Relaying der Mailserver „Black“- und „White“-List Ansätze ermöglicht den Einsatz weiterer „Filter“ Firewall Nachteile interner Datentransfer (via Fileserver) wird nicht überprüft nicht alle Inhalte können gescannt werden (Verschlüsselung, Passwörter) erfordert schon bestimmtes Know-how möglicher Ausfall bei Problemen Mailserver © 2002 IKARUS Software
Firewall © 2002 IKARUS Software
Fileserver Vorteile Nachteile File- Server zentrale Virenüberwachung einfachere Umsetzung von Virenschutzmaßnahmen zentrale Konfigurierung verhindert Großflächige Ausbreitung / hält Infektionen lokal kann nicht/kaum vom Anwender umgangen werden File- Server Nachteile nicht alle Inhalte können gescannt werden (Verschlüsselung, Passwörter) Performance bei Problemen „steht“ der Fileserver unter Umständen © 2002 IKARUS Software
Client Vorteile Nachteile Clients alle Dateien können gescannt werden (z.B: nach dem Entpacken eines Archivs bzw. nach dem Entschlüsseln einer Datei. höhere Ausfallsicherheit auf Grund der dezentralen Ausrichtung Stand Allone PC´s und kleiner PC Gruppen können überwacht werden Clients Nachteile dezentrale Verwaltung mehr Aufwand für Updates kann vom User unter Umständen deaktiviert werden © 2002 IKARUS Software
Was uns erwartet Anzahl und Variationen steigen, Hardwareschäden werden modern Multi-Office Makro Viren IRC/ICQ/Pirch Viren Steigende Netzwerkfunktionalität (Verknüpfung Wurm/Trojaner) Entwicklung neuer Angriffstrategien (Wurm/DDOS) Angriffe gegen PDC/PDA, „WAP-Viren“ Angriffe gegen Service Provider (ASP´s) Verstärktes Auftreten von BackdoorProgrammen Offensive Code (Samhain) Linux/Unix Dervivat-Malware © 2002 IKARUS Software
KKK – Klassischen-Ko-Kriterien Mangelndes Problembewußtsein Fehlendes Know How Fehlende Ressourcen Inadequate Weiterführung /Dynamik des Problems überwiegt die Dynamik der Aufwendungen © 2000 IKARUS Software