Wirusy, robaki, konie
trojańskie …
… nowe zagrożenia
Krzysztof Cabaj
Instytut Informatyki Politechniki Warszawskiej
kcabaj@ii.pw.edu.pl
Wirusy, robaki, konie
trojańskie …
… nowe zagrożenia
Krzysztof Cabaj
Instytut Informatyki Politechniki Warszawskiej
kcabaj@ii.pw.edu.pl
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Plan wykładu
Zagrożenia związane ze złośliwym kodem
wstęp
podstawowe pojęcia
Ewolucja złośliwego kodu … nowe zagrożenia
Co może stać się po infekcji …
Przeciwdziałanie zagrożeniom tego typu
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Wstęp - złośliwy kod
Złośliwy kod - malware (z angielskiego malicious
software)
wirusy
robaki
kod mobilny itp. ...
Najczęściej złośliwy kod zostaje uruchomiony bez
wiedzy użytkownika lub bez jego intencji co do sposobu
działania
Uruchomiony program może dokonać dowolnych zmian
w systemie
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Podstawowe pojęcia
Definicja zagrożeń (standardowe, literaturowe …
aktualnie podział współczesnych zagrożeń jest
trudniejszy)
wirusy
robaki
tylne furtki (backdoor’y)
konie trojańskie
Złośliwy kod mobilny
spyware
exploit’y
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Wirus 1/2
Samo propagujący kod, do którego uruchomienia
potrzebna jest interwencja użytkownika
Przenoszony za pomocą zainfekowanych programów,
dokumentów, wymiennych nośników danych (dyskietki,
kompakty, flash dyski)
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Wirus 2/2
Wirusy rozprzestrzeniające się poprzez
Zainfekowane pliki wykonywalne
Infekcje „boot-sectora” nośnika
Infekcje plików dokumentów (odpowiednio spreparowane makra
)
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Robaki
Samo propagujący się kod, do rozprzestrzeniania
wykorzystujący sieć, najczęściej nie potrzebuje żadnej
interwencji użytkownika aby przenosić się pomiędzy
infekowanymi systemami
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Backdoor’y
Oprogramowania umożliwiające dostęp do systemu
nieautoryzowanym użytkownikom, bez wiedzy
administratora czy właściciela maszyny
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Konie trojańskie, trojany
Oprogramowanie które wydaje się mieć pożyteczne i
niegroźne funkcje lecz posiadające ukryte nieznane (*)
osobie uruchamiającej działanie
Najczęściej zawierają backdoor’a stąd często te dwa
pojęcia są mylone
(*) Najczęściej groźne
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
(złośliwy) Kod mobilny
Wszelkiego rodzaju lekki kod (*) znajdujący się na
stronach internetowych, ściągany i uruchamiany bez lub
z minimalna interwencją użytkownika
(*)applety javy, skrypty np. javascript, kontrolki ActiveX itp
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Spyware 1/2
Oprogramowanie pisane w celu szeroko rozumianego
szpiegowanie użytkownika komputera
Programy tego typu mogą zbierać i wysyłać do autora
loginy i hasła do kont
naciskane klawisze (keylogers)
odwiedzane strony
adresatów, treść wysyłanych listów
Dane na temat komputera, systemu operacyjnego,
oprogramowania
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Spyware 2/2
Jak na razie tego typu zagrożenie wykrywane w
systemach Windows
Bardzo często zrealizowane jako BHO (browser helper
object) do Microsoft Explorera
Lista wykrywanych programów typu spyware
http://www.symantec.com/avcenter/security_risks/spyware/
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Exploit 1/2
Program, specjalnie spreparowana sesja komunikacyjna,
strona WWW, dokument mające na celu (najczęściej
przez wykorzystanie podatności, błędu) wykonanie
nieautoryzowanego kodu i zwiększenie uprawnień
użytkownika (atakującego)
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Exploit 2/2
Najczęściej wykorzystuje przepełnienienie bufora w celu
nielegalnego wykonania pewnych instrukcji
Działanie exploit’a może być różne
wykonanie instrukcji blokujących, restartujących, zajmujących moc
procesora – atak odmowy usługi (Denial of Service DoS)
wykonanie tak zwanego shellcode’a – instrukcji uruchamiających i
dających nieautoryzowany dostęp do powłoki systemu
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
RootKits
Zestaw oprogramowania umożliwiający nieskrępowany i
ukryty dostęp do maszyny
W skład wchodzą specjalne wersje programów
diagnostycznych np
dir/ls
netstat, ipconfig
ps
itp. ...
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Plan wykładu
Zagrożenia związane ze złośliwym kodem
Ewolucja złośliwego kodu … nowe zagrożenia
Ewolucja złośliwego kodu
Działanie współczesnych robaków
Maszyna Zombie, Bot, Botnet
Co może stać się po infekcji …
Przeciwdziałanie zagrożeniom tego typu
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Ewolucja
Dzisiejszy złośliwy kod łączą w jednym programie różne
cechy wcześniej opisanych zagrożeń
Problem z odpowiednim zaklasyfikowaniem programów,
ponieważ często łącza różne cechy
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Ewolucja - przykład
Złośliwy kod rozsyłający własne kopie za pomocą
załączników w poczcie (mass-mailer, mass-mailing
worm)
Czy to jest robak czy wirus?
W części programów pocztowych użytkownik musi sam
uruchomić załącznik …
… a jak tylko będzie chciał przeczytać treść a załączniku
zostanie uruchomiony automatycznie?
… a jak taki list będzie pierwszym w skrzynce i automatycznie
zostanie pokazany?
… a jak list jest w HTML’u i wykorzystuje błąd w
oprogramowaniu?
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Ewolucja
Złośliwy kod pisany modułowo
Łatwość dodania nowych funkcji jako dodatkowo
dociąganych modułów (np. kradnących kody do gier,
zapisujących wciśnięte klawisze, wykonujących ataki na
inne maszyny)
Możliwość automatycznego dociągnięcia, uaktualnienia
kodu robaka (później omówione przykłady rzeczywistych
ściąganych modułów)
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Maszyna Zombie, Bot, Botnet
Pytanie … po co infekować maszyny? Kto i po co pisze
tego rodzaju oprogramowanie?
Odpowiedź znana od tysięcy lat … dla pieniędzy
Zainfekowaną maszynę, do której ma się nieskrępowany
dostęp można wykorzystać od własnych celów …
A jak ma się ich setki, tysiące …
Od kilku lat obserwowany jest rozwój komputerowego
podziemia, które dysponuje setkami, tysiącami …
maszyn do wynajęcia
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Maszyna Zombie, Bot, Botnet
Do czego można wynająć sieć botów (BotNet)
Rozsyłania SPAM’u (maszyny
Przeprowadzenia ataku odmowy usługi
„Zachęcania” do odwiedzania pewnych witryn
Zdobywania informacji o właścicielach zainfekowanych
maszyn
Wykradania pewnych potrzebnych informacji (np. kody do
oprogramowania)
Bezpośredniego zarabiania pieniędzy
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Botnet – jak zarobić za jego pomocą
Wykorzystane do tego celu są serwisy reklamowe w
których właścicielowi strony płaci się za kliknięcia w
reklamę
Właściciel Botnet’u zakłada stronę i umieszcza na niej
płatne ogłoszenie
Maszyny zombie „klikają” na reklamę
15 maj 2006, wykrycie Botnetu działającego w ten
sposób. Zidentyfikowanie 115 maszyn, z których każda
kliknęła około 15 razu przez ostatnią dobę
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Działanie maszyny Zombie
Uruchomienie programu
Zalogowanie się do serwera IRC operatora danego
Botnet’u
Oczekiwanie na polecenia wydawane przez operatora
danej sieci
Wykonywanie wcześniej zleconej pracy
Np. zbieranie danych o użytkowniku
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Działanie maszyny Zombie
Przykładowe komendy (zebrane przez German
Honeynet Project)
Wykonie ataku DDoS
Wykonanie skanowania w poszukiwaniu podatnych maszyn
Wykonanie uaktualnienia oprogramowanie/ściągnięcie
dodatkowych narzędzi
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Działanie robaka w systemie Windows 1/3
Dostarczenie i wykonanie kodu exploit’a
Najczęściej wiąże się z uruchomieniem powłoki
systemowej (program cmd.exe) i umożliwienie dostępu
do niej
Nasłuchiwanie na określonym porcie
Połączenie do odpowiedniej maszyny oczekującej połączenia
Wykonanie komend ściągających właściwy kod robaka
Uruchomienie właściwego kodu robaka
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Działanie robaka w systemie Windows 2/3
Sprawdzenie czy przypadkiem maszyna nie jest już
zainfekowana przez tego robaka (robak danej rodziny
instaluje w systemie odpowiednie wpisy w rejestrze,
tworzy nazwane zasoby np. semafor, muteks itp.)
Poinformowanie autora o nowej zainfekowanej
maszynie
Wpis w rejestrze uruchamiające program przy starcie
systemu operacyjnego
(także przy każdym uruchomienie)
Sprawdzenie czy nie ma nowszej wersji robaka,
ewentualnie ściągnięcie nowej wersji
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Działanie robaka w systemie Windows 3/3
Podłączenia się do serwera IRC i oczekiwania na
specjalne komendy, dodatkowe zadania
Przejście do procedury dalszego rozprzestrzeniania
Skanowanie sieci w poszukiwaniu podatnych maszyn
Przeszukiwanie dysków twardych w poszukiwaniu adresów i
rozsyłanie własnych kopii
Wykonanie dodatkowych funkcji
Ukrywanie własnej obecności w systemie
Zdobywanie informacji o użytkowniku
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Plan wykładu
Zagrożenia związane ze złośliwym kodem
Ewolucja złośliwego kodu … nowe zagrożenia
Co może stać się po infekcji …
Przeciwdziałanie zagrożeniom tego typu
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Co może stać się po infekcji …
Wszystko … fizyczny właściciel maszyny traci (może
stracić) kontrole nad nią
… trzeba uznać, że wszystkie poufne dane zostały
skompromitowane (loginy, hasła, dane przechowywane
itd. …)
Oprogramowanie maszyny powinno się całkowicie
przeinstalować
Opisywane w dalszej części możliwości zostały
wykryte w złapanych na wolności robakach,
wirusach itp. !!!
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Co może stać się po infekcji …
Masowa infekcja podatnych maszyn może doprowadzić
do całkowitego „zapchania” sieci spowodowanej ilością
generowanego ruchu
Robak Slammer w styczniu 2003 całkowicie sparaliżował
sieć w wielu krajach … poprzez wykorzystanie całego
dostępnego pasma na przenoszenie ruchu próbującego
infekować kolejne maszyny
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Możliwości dzisiejszego malware’u
Wykradanie poufnych informacji.
Jak na razie większość robaków wykrada „tyko” kody do
gier …
… przykładowo robak W32.Gaobot.BIA wykrada kody do
ponad 40 gier
Neverwinter Nights (Hordes of the Underdark) Neverwinter Nights (Shadows of Undrentide) Neverwinter Nights
Soldier of Fortune II - Double Helix Hidden & Dangerous 2 Chrome NOX Command and Conquer: Red Alert 2
Command and Conquer: Red Alert Command andConquer: Tiberian Sun Rainbow Six III RavenShield Nascar
Racing 2003 Nascar Racing2002 NHL 2003 NHL 2002 FIFA 2003 FIFA 2002 Shogun: Total War: Warlord
Edition Need For Speed: Underground Need For Speed Hot Pursuit 2 Medal of Honor: Allied Assault:Spearhead
Medal of Honor: Allied Assault: Breakthrough Medal of Honor: AlliedAssault Global Operations Command and
Conquer: Generals James Bond 007: Nightfire Command and Conquer: Generals (Zero Hour) Black and White
Battlefield Vietnam Battlefield1942 (Secret Weapons of WWII) Battlefield 1942 (Road To Rome) Battlefield 1942
Freedom Force IGI 2: Covert Strike Unreal Tournament 2004 Unreal Tournament 2003 Soldiers Of Anarchy
Legends of Might and Magic Industry Giant 2 Half-Life GunmanChronicles The Gladiators Counter-Strike (Retail)
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Możliwości dzisiejszego malware’u
Próby ukrycia infekcji, oraz uniemożliwienie pozbycia się
robaka
Zabijanie procesów o nazwach związanych z
oprogramowaniem AV, zapór ogniowych itp. (robak
Gaobot.SY ma listę 594 nazw procesów, które są przez niego
wyłączane)
Przekierowanie w pliku hosts adresów związanych z
oprogramowaniem antywirusowym i bezpieczeństwa na adres
127.0.0.1 (loopback)
…
127.0.0.1 mcafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 sophos.com
127.0.0.1 www.sophos.com
127.0.0.1 updates.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 customer.symantec.com
…
127.0.0.1 www.kaspersky.com
127.0.0.1 www.avp.com
127.0.0.1 kaspersky.com
127.0.0.1 www.f-secure.com
127.0.0.1 f-secure.com
127.0.0.1 viruslist.com
127.0.0.1 www.viruslist.com
…
127.0.0.1 www.grisoft.com
127.0.0.1 www.trendmicro.com
127.0.0.1 trendmicro.com
127.0.0.1 rads.mcafee.com
127.0.0.1 us.mcafee.com
127.0.0.1 www.nai.com
127.0.0.1 nai.com
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Możliwości dzisiejszego malware’u
Pojawianie się rodzin robaków służących do masowego
infekowania maszyn
Tego typu robaki są w stanie zainfekować maszynę na
wiele sposobów
„Gaobot.SY [Sym.Gaobot.SY] jest w stanie zainfekować maszynę
za pomocą 9 różnych podatności. Oprócz wykorzystywania luk w
oprogramowaniu robak ten próbuje do infekcji wykorzystać otwarte
porty(*) przez robaki rodzin MyDoom i Beagle oraz przegrać się do
udostępnionych zasobów ze słabymi hasłami (program posiada listę
około 250 słabych haseł)„ [Cabaj04]
(*) funkcjonalność backdoor’a
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Możliwości dzisiejszego malware’u
Żądanie okupu od użytkownika
Program po instalacji szyfruje dane na dysku i informuje,
że po zapłacie 300$ zostanie przysłany pocztą klucz
umożliwiający odszyfrowanie danych
Zidentyfikowane programy postępujące w ten sposób
Cryzip
PGPcoder
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Możliwości dzisiejszego malware’u
Programy logujące naciskane klawisze
Zebrane dane wysyłane do serwera nadzorcy
[…]
PRIVMSG #klawiatura :[ 9mBank - microsoft internet
explorer ]
PRIVMSG #klawiatura :bartek
PRIVMSG #klawiatura :Z34f23Gf4
[…]
PRIVMSG #klawiatura :[ 9Profil - Wirtualna Polska -
microsoft internet explorer ]
PRIVMSG #klawiatura :bartek
PRIVMSG #klawiatura :9i3m5n32N6@
Źródło [Kwit06]
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Możliwości dzisiejszego malware’u
„Malware extras”
„
Zabezpieczona zawartość okazała się być zestawem narzędzi, w
które przejęty komputer (bot) mógł zostać wyposażony.
Znaleźliśmy wśród nich serwer FTP (ioFTPD), program
uruchamiający serwer IRC (bircd.exe), prosty skaner portów oraz
aplikacje, która „wyciągała” hasła z magazynu chronionego w
Windows (np. hasła w Outlook Express czy w Internet Explorer).
Jednak największe wrażenie zrobił program, który otwierał port na
przejętej maszynie. Co w tym nadzwyczajnego? Być może to, że
po nawiązaniu połączenia z tym portem, mogliśmy oglądać
aktualny obraz z podłączonej do zdalnego komputera kamery
internetowej.” [Kwit05]
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Plan wykładu
Zagrożenia związane ze złośliwym kodem
Ewolucja złośliwego kodu … nowe zagrożenia
Co może stać się po infekcji …
Przeciwdziałanie zagrożeniom tego typu
Oprogramowanie antywirusowe (AV)
Zapory ogniowe
Systemy wykrywania włamań (IDS)
Edukacja użytkowników …
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
14 grudnia 2006 w godzinach wieczornych (23:45- 0:45)
uruchomiłem low-interaction Honeypot’a – o nazwie
Nepenthes
Podczas tej godziny
Zostało „złapanych” 126 znanych exploitów i podjęto próbę
ściągnięcia plików które miały potem zostać uruchomione.
Udało się ściągnąć „podejrzane” pliki z 102 zdalnych maszyn
Ściągnięto 6 podejrzanych plików
Cała komunikacja zajęła ponad 11 Mb danych
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
Podejrzane pliki sprawdziłem na stronie
www.virustotal.com.
Zgodnie z nazwami skanera Kaspersky były to:
Backdoor.Win32.Rbot.gen
Backdoor.Win32.Rbot.bjp
Packed.Win32.CryptExe (Norman Gaobot)
Backdoor.Win32.Rbot.bjp
Backdoor.Win32.EggDrop.v
Backdoor.Win32.Rbot.gen
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
O ile taki wynik
skanowania nie
budzi wątpliwości
…
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
Taki już jest
mało
pocieszający …
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
Porównanie (22 październik 2006 ) w godzinach
wieczornych uruchomiłem na około godzinę low-
interaction Honeypot’a – o nazwie Nepenthes
Podczas tej godziny
Zostało „złapanych” 273 znanych exploitów i podjęto próbę
ściągnięcia plików które miały potem zostać uruchomione.
Udało się ściągnąć „podejrzane” pliki z 136 zdalnych maszyn
Ściągnięto 6 podejrzanych plików
Cała komunikacja zajęła ponad 16 Mb danych
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
Podejrzane pliki sprawdziłem na stronie
www.virustotal.com.
Zgodnie z nazwami skanera Kaspersky były to:
Backdoor.Win32.Rbot.gen
Backdoor.Win32.SdBot.awk
Backdoor.Win32.Rbot.gen
Backdoor.Win32.SdBot.ayk
Backdoor.Win32.Rbot.gen
Backdoor.Win32.SdBot.awk
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
O ile taki wynik
skanowania nie
budzi wątpliwości
…
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
Taki już jest
mało
pocieszający …
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Czy to dotyczy Ciebie …
Ten sam plik
po
8 tygodniach …
Dużo lepiej …
ale nadal są
skanery które
nie znajdują w
pliku niczego
podejrzanego
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Oprogramowanie AV
Sposób wykrywania
sygnatury
zastosowanie metod heurystycznych
Przez pewien okres robaki i mobilny kod nie był
traktowany jako zagrożenie typu wirusowego
Gdzie dzisiaj działa oprogramowanie antywirusowe
komputery użytkowników
serwery pocztowe
serwery proxy (sprawdzające zawartość oglądanych stron,
ściąganego oprogramowania)
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Zapory ogniowe
Zapora ogniowa (firewall) – urządzanie lub
oprogramowanie służące do odfiltrowywania
niepożądanego ruchu
Część dzisiejszych zapór ogniowych ma możliwość
analizy danych nie tylko w warstwie 3 i 4 ale także w 7
Współczesne zapory ogniowe
Chroniące całe podsieci (np. na styku Internet siec lokalna)
Zapory osobiste (personal firewall) instalowana na maszynach
użytkowników
Instalowane w serwerach proxy
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Zapory ogniowe
Blokowanie niepotrzebnego ruchu
Wchodzącego
Wychodzącego (
Ingress)
Co nam nie jest koniecznie potrzebne najlepiej odsiac
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Systemy wykrywania włamań
Systemy wykrywania włamań (Intrusion Detection
Systems, IDS)
Oprogramowanie monitorujące zachowania maszyn i/lub
ruch sieciowy w celu wykrywania potencjalnych ataków
Systemy IDS dzielimy na dwie grupu
Sieciowe – analizują ruch z fragmentu sieci
Hostowe – analizują dane udostępnione przez system
operacyjny
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Edukacja użytkownika
Po pierwsze zdrowy rozsądek
Czego nie należy robić
nie uruchamiać zawartości przesłanej w poczcie
elektronicznej (w szczególności od nieznanych osób, lub
znanych ale z „podejrzaną” zawartością)
Nie wchodzić na strony, których adresy dostaliśmy od
nieznajomych pocztą, programami typu IM itp.
(paranoicznie od znajomych, a nie spodziewaliśmy się)
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Edukacja użytkownika
Co należy robić
cyklicznie uaktualniać oprogramowanie
zaopatrzyć się w oprogramowani AV (i cyklicznie ściągać
bazę sygnatur)
zaopatrzyć się w oprogramowanie klasy osobista zapora
ogniowa (czasami system HIDS)
Najważniejsze … zachować zdrowy rozsądek
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Podejście „Defense in depth”
Z powodu skomplikowania dzisiejszych zagrożeń nie ma
jednego rozwiązania, które zapewni 100%
bezpieczeństwo
Nie ma 100% sposoby zabezpieczenia. Coraz częściej
mówi się nawet o zarządzaniu ryzykiem.
Podejście „Defense in depth” - używanie różnych metod
oraz kilku warstw ochrony Np.
Zapora na styku
System AV dla poczty
Osobiste zapory ogniowe i skanery AV
System(y) IDS
Krzysztof Cabaj
Wirusy, robaki, konie trojańskie – nowe zagrożenia.
OINS Lato 2007
Literatura
Ed Skoudis, with Lenny Zeltser, “Malware Fighting malicious code”,
Prentice Hall 2004, ISBN 0-13-101405-6
[Cabaj04] „Zagrożenia ze strony robaków Internetowych - próby
wykrywania i przeciwdziałania.”
ICS Research Report 17/2004,
Warsaw, December, 2004.
[Kwi05] Bartosz Kwitkowski „Analiza malware’u – źródło informacji
dla IRT”, Secure 2005
Strony producentów oprogramowania AV
www.symantec.com/avcenter