Aktuelle Entwicklungen im Kampf gegen Viren- und Spamflut Max Diehn Leibniz-Rechenzentrum diehn@lrz.de

Das Spam Problem Spam macht oft schon 80 – 90 % des Mailaufkommens aus kostet Zeit und Geld, bei Empfängern und Mailprovidern Wo Spam herkommt: Analyse von Logdateien: aus Asien, USA, Europa, naher Osten von Spambots infizierte Windows PCs Diese arbeiten nach dem “fire and forget” Prinzip, d.h. sie emittieren Tausende von Spammails in kurzer Zeit Open Relays (fehlkonfigurierte Mailserver) werden von Spammern missbraucht

Rahmenbedingungen der Spambekämpfung False Positives müssen vermieden werden! Aus Usersicht viel wichtiger als Spamschutz Rechtslage: §206, 303a StGB, unbefugte Unterdrückung von Sendungen http://www.heise.de/newsticker/meldung/55201 Rechtliche Empfehlungen für Admins, die Spam filtern: Eindeutige schriftliche Regelung mit Betriebsrat und Kunden Oder: Spam nur markieren; Kunde muss selber filtern “opt in” anbieten Das Internet ist vermascht: Mails gehen durch viele Hände Absender, Empfänger, Inhalt sind leicht zu fälschen Empfänger kann nur den letzten Schritt der Mail nachvollziehen Sicherung des kompletten Transportweges schwer

Ansätze (1): Blacklisting IP – Adressen eignen sich für “schwarze Listen” IP – Adresse des zustellenden Rechners kann nachvollzogen werden: schwer zu fälschen Also IP – basierte Sperrlisten Weltweit nutzbare Datenbanken (DNS basiert) Probleme damit: Neue, erstmals feuernde Spambots werden nicht erfasst. Deshalb Versuchung, ganze IP – Bereiche zu sperren Beispiel China, http://www.securityfocus.com/columnists/350 Häufig False Positives

Ansätze (2): Inhaltsanalysen Filtern von Begriffen / Inhaltsmerkmalen Prüfsummen bekannter Spam Mails (“verteilte human detection Systeme”) Bayes Filter Corpus mit Spam, Corpus mit “guter” Mail Neue Mail: deren Wörter bekommen eine Spamwahrscheinlichkeit anhand der vorhandenen Textkörper Die auffälligsten Wörter werden benutzt, um eine Gesamtwahrscheinlichkeit für die Mail zu errechnen http://www.paulgraham.com/spam.html

Ansätze (3): Greylisting Ist ein Verfahren zur Identifikation standardkonformer Mailserver Unbekannte Mailserver werden auf etwas später vertröstet (z.B. 10 Minuten) RFC 2821 fordert, dass die Gegenstelle dann den Zustellungsversuch wiederholt Server, die das tun, kommen in eine Datenbank (Reputationssystem) http://www.greylisting.org Spammer können Greylisting aushebeln, indem sie echte Mailserver betreiben – dann sind sie jedoch verwundbarer für Blacklists

Greylisting Einsatz am LRZ Vor- und Nachteile: + sehr wirksam + keine False Positives, keine rechtliche Grauzone + geringer Resourcenverbrauch (auch bei der Gegenstelle) + guter Schutz vor brandneuen Viren - Die 1.Mail von unbekannten Quellen wird um i.d.R. einige Minuten verzögert Wir setzen Greylisting (http://sqlgrey.sourceforge.net ) als 1.Line of Defense ein, dahinter Content Analyse und Virenscanner als 2.Linie. Wie sieht das in der Praxis aus?

Greylisting: Auswirkungen auf den eingehenden Verkehr Etwa 85% der ankommenden Mails werden abgewiesen (grau) – ausnahmslos Spam und Malware

Greylisting: Auswirkungen auf den eingehenden Verkehr Vergrößerung des grünen Bereichs der vorherigen Grafik – Rot markiert sind solche Mails, die *nicht* unverzögert durchgelassen werden (neue Mailquellen)

Was Greylisting von den eintreffenden Viren übrig lässt, frisst Sophos Mails, die Schädlinge enthalten, dürfen ohne Benachrichtigung von Sender oder Empfänger gelöscht werden (herrschende Auffassung zu §109 TKG)

Phishing Ziel: Passwörter, TAN-Nummern etc von gutgläubigen Usern zu “phischen” Merkmale: HTML Mails mit getarnten Links auf “böse” Server Social Engineering (noch) oft Rechtschreib- und Grammatikfehler Weiterführende Links: http://www.heise.de/security/news/meldung/63249 http://www.heise.de/security/news/foren/go.shtml?read=1&msg_id=8747534&forum_id=84158

Viren, Würmer und Trojaner Häufigste Verbreitungsarten: Attachments (häufig getarnt durch doppelte Endungen) Webseiten (Schwachstellen in Browsern) HTML – Mails Zentral Bekämpfbar: an den Mailrelays LRZ: Sophos und Clamav Dezentral Bekämpfbar: an den Arbeitsplatzrechnern Nur ein(!) Virenscanner neue Signaturen zentral verteilen Probleme der Signaturverteilung: Latenz, Polymorphie

Aktualisierung von Virensignaturen Aktualisierungspfad für neue Virensignaturen Server von Sophos Server am LRZ

Update auf den Clients, initiiert durch Server (“push”) Client up to date? Update Client (push), wenn nötig Server am LRZ Arbeitsplatzrechner

Update auf den Clients, initiiert durch Client (“pull”) Updates verfügbar? (z.B. nach Start des Arbeits- Platzrechners) Client holt update (pull), wenn verfügbar Server am LRZ Arbeitsplatzrechner

Sicherung von Arbeitsplatzrechnern Windows XP Probleme: Unsichere Defaults (z.B. HTML Mails, Ordneroptionen) User arbeiten als Admins (z.B. um leichter Software installieren zu können) Überlebensregeln Entfernen nicht benötigter Dienste (und Programme, z.B. “Surfturbos” o.Ä.!) Autoupdates für Betriebssystem und Anwendungen Netzwerkkonfiguration und Personal Firewall (nur eine!) Restriktive Browserkonfiguration (schwierig bei IE)

Ergänzung: Weitere Links Links zum Thema Viren, Würmer, Trojaner: http://www.rrzn.uni-hannover.de/buch.html?&no_cache=1&titel=netzwerke_sich http://www.lrz-muenchen.de/services/security/antivirus/ http://www.sophos.de/pressoffice/pressrel/20000516bayer.html http://www.bsi.de/literat/studien/antispam/antispam.pdf Links zum Thema Sicherung von XP Arbeitsplätzen http://www.lrz-muenchen.de/services/betriebssysteme/nt/w2ksicherheit/ http://www-pc.uni-regensburg.de/systemsw/

Ergänzung: Weitere Konzepte gegen Spam SPF (Sender Policy Framework) Frequenzanalyse SMTP Sperren (zur Sicherung der eigenen Infrastruktur) Absender (Mail From) Verfikation Whitelists Kombinationen (z.B. Greylisting nur für dial ups) Bezahlverfahren (digitale Briefmarken) Näheres unter http://www.bsi.de/literat/studien/antispam/antispam.pdf