Computerviren © 2002 IKARUS Software. Z I E L S E T Z U N G : Risiko-Bewertung...
-
Upload
gunda-blick -
Category
Documents
-
view
114 -
download
3
Transcript of Computerviren © 2002 IKARUS Software. Z I E L S E T Z U N G : Risiko-Bewertung...
ComputervirenComputerviren
© 2002 IKARUS Software
© 2002 IKARUS Software
Z I E L S E T Z U N G :Z I E L S E T Z U N G :Risiko-Bewertung
Entscheidungsgrundlagen
Analyse des Bedrohungspotentials
Realisierung / Umsetzung
Richtige Einschätzung der Situation; wie sehen mögliche
Bedrohungsszenarien für meinen Bereich/Umfeld aus.
Welche Auswirkungen haben diese Szenarien auf
mich/Workflow/Unternehmensführung/Unternehmenserfolg
Für die Beurteilung „Ihrer“ Virenschutzmaßnahmen;
Wissen um die Erstellung einer modernen Antivirus-Policy
einer vitalen „virus-wall“ auf unterschiedlichen Netzwerk-Ebenen;
Praktische Umsetzung der getroffenen Antivirus-Policy
© 2002 IKARUS Software
I.I. SchrittSchritt
Was unternehme ICH im Moment dagegen ?
Was sind Viren
Wie kann man sich schützen
Womit & mit wem Sie es zu tun haben
Infektionswege
Client-Virenschutz
Administration
Virenschutz auf Mailgateways
Was sind VirenWas sind Viren
• Biologische Vergleiche/Namensgebung
• Wie entstehen Computerviren
• Woraus bestehen und wie arbeiten sie
• Welche Typen gibt es
© 2002 IKARUS Software
Was sind VirenWas sind Viren
© 2002 IKARUS Software
Viren: rechtliche LageViren: rechtliche Lage
© 2002 IKARUS Software
Was sind VirenWas sind Viren
© 2002 IKARUS Software
Virus Typen Virus Typen (Grobgliederung)(Grobgliederung)
• Boot-Viren (ParityBoot/Angelina)
• File-Viren (Tequilla,CIH)
• Makro-Viren (CAP/Laroux;Ethan)
• VBS (Skript)-Viren (Loveletter,Freelink)
• Würmer (Happy99, PrettyPark)
• Trojaner (NetBus, BackOriffice)
• Sonstige (IRC.StagesA, Toadie)
© 2002 IKARUS Software
Chronologie einer Entwicklung
1949:1949: die Theorie entstehtdie Theorie entsteht
die 70er:die 70er: der erste „Spiel“-Wurm der Geschichte kommt auf (CoreWars)der erste „Spiel“-Wurm der Geschichte kommt auf (CoreWars)
1981:1981: der Begriff „Computervirus“ wird eingeführtder Begriff „Computervirus“ wird eingeführt
1983:1983: das erste funktionsfähige Virus wird von Fred Cohen programmiertdas erste funktionsfähige Virus wird von Fred Cohen programmiert
1985:1985: ein trojanisches Pferd löscht Dateien auf der Festplatteein trojanisches Pferd löscht Dateien auf der Festplatte
1986:1986: das Bootsektor Virus „VIRDEM“ wird vorgestellt.das Bootsektor Virus „VIRDEM“ wird vorgestellt.
Erste Virusinfektion auf einem GroßrechnerErste Virusinfektion auf einem Großrechner
erstes MS-DOS Virus aus Pakistan verbreitet sich bis in die USAerstes MS-DOS Virus aus Pakistan verbreitet sich bis in die USA
die ersten Virenscanner kommen auf den Marktdie ersten Virenscanner kommen auf den Markt
1987:1987: das erste Apple-Virus wird bekanntdas erste Apple-Virus wird bekannt
die zweite Generation der Viren entstehendie zweite Generation der Viren entstehen
1989:1989: Polymorphe (vielgestaltige) Viren werden gefundenPolymorphe (vielgestaltige) Viren werden gefunden
Chronologie einer Entwicklung
1991:1991: die Anzahl der neu gefundenen Viren wächst explosionsartig andie Anzahl der neu gefundenen Viren wächst explosionsartig an
die ersten Organisationen im Kampf gegen Computerviren entstehendie ersten Organisationen im Kampf gegen Computerviren entstehen
1992:1992: 2.000 Viren sind bekannt! Darunter „Michelangelo“2.000 Viren sind bekannt! Darunter „Michelangelo“
1993:1993: 2-3 neue Viren/Monat2-3 neue Viren/Monat
1995:1995: der Damm bricht! Windows-Viren, Macro-Viren, plattformübergreifende Viren...der Damm bricht! Windows-Viren, Macro-Viren, plattformübergreifende Viren...
1996:1996: über 10.000 verschiedene Viren-Varianten sind bekannt über 10.000 verschiedene Viren-Varianten sind bekannt
1997:1997: erstes Linux-Viruserstes Linux-Virus
1998:1998: Java wird von den Virenschreibern entdeckt, erstes „Hard-Ware“ VirusJava wird von den Virenschreibern entdeckt, erstes „Hard-Ware“ Virus
1999:1999: Happy 99 bleibt über Jahre aktivHappy 99 bleibt über Jahre aktiv
2000:2000: 4. Mai 2000 LoveLetter verändert das Denken in der Virenszene!4. Mai 2000 LoveLetter verändert das Denken in der Virenszene!
Anteilige VerbreitungAnteilige Verbreitung
© 2002 IKARUS Software
Quelle: ICSA, Virus-Survey 1999Quelle: ICSA, Virus-Survey 1999
Virentypen
FILE 9%
DON'T KNOW
9%
MIX 1%
MACRO 63%
OTHER 8%
BOOT 10%
Wie sah es im Jahr 2000 ausWie sah es im Jahr 2000 aus
© 2002 IKARUS Software
Quelle: ICSA, Virus-Survey 2000Quelle: ICSA, Virus-Survey 2000
Virus Name HäufigkeitPCs verseuchtVBS/Loveletter 123 456.570 W97M/Melissa 9 22.350 Andere 6 6.355 X97M/Laroux 3 8.150 W32/Funlove 2 1.900 W97M/Ethan 2 4.200 W97M/Marker 2 6.050 W95/CIH 1 1.100 WIN32/Ska (Happy99) 1 1.200 JS/Kak.Worm 1 500 W97M/Class 1 1.500 W32/PrettyPark 1 1.500 TOTAL 152 511.375
W97M/Melissa
5%
VBS/Loveletter90%
X97M/Laroux2%
W97M/Marker1%
W97M/Ethan
1% Andere
1%
0%
10%
20%
30%
40%
50%
60%
70%
80%
Viruses/Trojans/Worms
Denial of Service
Exploits related to activeprogramm scripting
Attacks related to protocolweakness
Attacks related to insecurePasswords
Buffer overflow
Attacks on bugs in WebServers
Art der Attacke Mittelwert/JahrViruses/Trojans/Worms 80%Denial of Service 37%Exploits related to active programm scripting 37%Attacks related to protocol weakness 26%Attacks related to insecure Passwords 25%Buffer overflow 24%Attacks on bugs in Web Servers 24%
Risiko von Attacken
© 2002 IKARUS SoftwareQuelle: ICSA
Wie groß ist die Gefahr?Wie groß ist die Gefahr?
Infektion pro 1.000 PC´s
19 21 32
80
231
-50
0
50
100
150
200
250
1996 1997 1998 1999 2000
Jahr
Vir
us
© 2002 IKARUS SoftwareQuelle: ICSA
Wie groß ist die Gefahr?Wie groß ist die Gefahr?
© 2002 IKARUS SoftwareQuelle: Messagelabs/UK
Emails: Infektionsrate 2001 -2002
Wie groß ist die Gefahr?Wie groß ist die Gefahr?
© 2002 IKARUS SoftwareQuelle: ICSA
Anzahl betroffene Rechner gesichertUpdateintervall in Wochen
wahrscheinlich infizierte Rechner
Mail Accounts über LAN 1000 44,80 1 1 22,40Mail Accounts über Wählleitung 2 0,09 0 0,09private POP3 Accounts über LAN 5 0,22 0 0,22RAS-Zugänge zum LAN 10 0,80 0 0,80Disketten- und CD-Laufwerke 1000 27,20 1 1 13,60WWW Zugänge über LAN 1000 2,40 1 5 2,38FTP Zugänge über LAN 1000 7,20 1 5 7,14private Modemanschlüsse 10 0,45 0 0,45Webmailaccounts 1000 44,80 1 5 44,44
0,00
5,00
10,00
15,00
20,00
25,00
30,00
35,00
40,00
45,00
Infektions-wahrscheinlichkeit [%]
Mai
l Acc
ount
s üb
erLA
N
Mai
l Acc
ount
s üb
erW
ählle
itung
priv
ate
PO
P3
Acc
ount
s üb
er L
AN
RA
S-Z
ugän
ge z
umLA
N
Dis
kett
en-
und
CD
-La
ufw
erke
WW
W Z
ugän
geüb
er L
AN
FT
P Z
ugän
ge ü
ber
LAN
priv
ate
Mod
eman
schl
üsse
Web
mai
lacc
ount
s
Wahrscheinlichkeit von Virenattacken
© 2002 IKARUS SoftwareQuelle: ICSA
Die häufigsten InfektionswegeDie häufigsten Infektionswege
© 2002 IKARUS SoftwareQuelle: ICSA
Quelle: ISCA virussurvey 99 1999 2000Virenquelle je 1.000 Infektionen je 1.000 InfektionenDiskette: home 144 42Diskette: sales demo 16 1Diskette: shrink-wrapped software 3 1Diskette: LAN manager/supervisor 3 1Diskette: repair/service person 15 2Diskette: malicious person 3 6Diskette: other 78 9CD: software 3 1Download: BBS / ISP 99 31Download: FTP, BBS, host 15 12Email attachment 501 828Automated software distribution 3 12WWW: browsing 27 18Other 9 12None specified 15 7Don't know 66 17
1.000 1.000
© 2002 IKARUS Software
4. Mai–Liebesbrief geht um die Welt 4. Mai–Liebesbrief geht um die Welt Quelle: Messagelabs/UK
© 2002 IKARUS Software
SirCAM - VirusSirCAM - VirusQuelle: Messagelabs/UK
1998 1999kein Verlust 24% 24%bis 1.000 USD 8% 10%bis 10.000 USD 11% 12%bis 500.000 USD 8% 12%bis 1 Mio USD 10% 10%unbekannt 47% 41%
Verluste durch Virus IncidentsVerluste durch Virus Incidents
© 2002 IKARUS SoftwareQuelle: ICSA
0%
5%
10%
15%
20%
25%
30%
35%
40%
45%
50%
keinVerlust
bis 1.000USD
bis 10.000USD
bis500.000
USD
bis 1 MioUSD
unbekannt
1998
1999
1997 1998 1999Keine 51% 36% 26%bis 4 Std. 21% 22% 17%4-8 Std. 10% 14% 17%9-24 Std. 10% 13% 14%über 24 Std. 19% 15% 16%1-3 Tage 12% 8% 10%3-6 Tage 3% 3% 3%7-10 Tage 2% 2% 1%über 10 Tage 2% 2% 2%
0%
10%
20%
30%
40%
50%
60%
Keine bis 4 Std. 4-8 Std. 9-24 Std. über 24 Std.
1997
1998
1999
0%
10%
20%
30%
40%
50%
60%
Keine bis 4 Std. 4-8 Std. 9-24 Std. über 24 Std.
1997
1998
1999
1997
1998
1999
Down-Time Aufgrund VirenDown-Time Aufgrund Viren
© 2002 IKARUS SoftwareQuelle: ICSA
© 2002 IKARUS Software
Wer dahinter stecktWer dahinter steckt
David Smith („Melissa“)David Smith („Melissa“)USA, 26 Jahre, männlichUSA, 26 Jahre, männlich
Cheng Ing-Hau („CIH“ alias Tschernobyl)Cheng Ing-Hau („CIH“ alias Tschernobyl)Taiwan, 25 Jahre, männlichTaiwan, 25 Jahre, männlich
Onel Guzman („LoveLetter“)Onel Guzman („LoveLetter“)Philippinen, 23 Jahre, männlichPhilippinen, 23 Jahre, männlich
Jan de Wit alias „On the fly“(„Kournikova“)Jan de Wit alias „On the fly“(„Kournikova“)Niederlande, 20 Jahre, männlich...Niederlande, 20 Jahre, männlich...
© 2002 IKARUS Software
Ihre „Message“Ihre „Message“
I HAVE NO RATIOI HAVE NO RATIO
This begins a time of darkness. From now until Yule, the days grow darker and colder.
Winter storms begin to sweep down from the north”
"Kill them all...let god sort them out "
FUCK U IMMEDIATELY, LOSER !
he, your lame client cant read HTML, hahaclick attachment to see some stunningly HOT stuff
long live to the writers..... may the source be with you
The Dark is Ready... w i n d o w s s u c k s
AleVirusAcid Bytes
Algol
AuroDreph
Apoc
Asmodeus
Angus Thermopyle
babyvirii
AkKort
Anaktos
© 2002 IKARUS Software
Mit wem Sie es zu tun habenMit wem Sie es zu tun haben
Assembler Head
Ac id Bytes, AkKort, Alevirus, Algol, Anaktos, Angus Thermopyle, Apoc , Asmodeus, Assembler Head, AuroDreph, babyvirii, Bayros, Bench, Benny, Bfr0vrFl0, Billy Belcebú, Black Cat, Black J ack, Blue Cat, bsl4, Buddy Music , Bumblebee, BugHunter, Cicatrix, Clau, CyberShadow, CyberYoda, Cyphonix, Daniel, darkbyte, darkman, Dark Slayer, Deadman, DeCaY, Del_Armg0, d0c , DrDope, Dr[yozak], Dr Zero, DuSTFaeRie, Eddow, Evul, f0revir, Fayte, Flitnic , FRiZER, Furkon, Galar, Genoc ide, GeneCode, GigaByte, GGNome, GriYo, Guillermito, HenKy, Int13h, J ackie, J ack the Ripper, J ack L iu, J acky Qwerty, J FK_, J .S.Bach, Kamaileon, Knowdeth, Lethal Mind, L iFEwiRE, Lord Arz, Lord Asd, LordDark, Lord J ulus, Lys Kovick, Malware, Mandragore, Memory Lapse, Midnyte, Mist, moebius, mort, MrSandman, Murkry, Newton, nfission, Nigromant, Nightmare J oker, nuc leii, Paddingx, Paradizer, Parasite, Pastol, Paul Zest, PaX, Perikles, Phage, PhreakX, Poltergeist, PoLyMaTh, P rizzy, P ruslas, Psyc lone X, quilb, raenius, Rajaat, Raid, Rebyc , Recoder, Reptile, Retch, R-E-V, Roadkil, Ruiner, Ruzz, Sepultura, Serial K iller, Shadow Seeker, Sizif, S lage Hammer, Slumdung, Snake Byte, Snake Layer, Sokrates, Sopinsky, Sph1nx, Spooky, Spyda, SSR, Staggle, StarZero, StRaMoNiUm, Super, Szule, T -2000, Tcp, The L ich, The Spy, The Wizard, T itanics, Ultras, Vecna, [VEiN], VicodinES, Virax, VirusP , Virus-X, ViruVox, VxFaeRie, wEiRd GeNiUs, Wintermute, Worf, XaRaBaS, xHeCS, Yanush Milovski, Z0MBiE, Zordhak, Zhuge J in, Zulu.
© 2002 IKARUS Software
Wie sind sie organisiert Wie sind sie organisiert
*-zine, 29A, Cyber Criminals Clan, Alternative Virus Mafia, CodeBreakers, Corean Virus Club, Dark Conspiracy, DDT, Duke´s Virus Labs, Feathered Serpents, IKX, Immortal Riot, LineZer0 VX Team, [MATRiX], Metaphase VX Team, Moonbug, Nomercy Virus Team, NOP, Nuke, Pinoy Virus Writers, Renegade, Shadow Dancer Team, Shadow Virus Group, Silicium Revolte, Stealth Group, Sign Of Scream, SLAM, Technological Illusions, VBB, VLAD and all the other live/died virii groups.
Alta-Virus, Association of Satanic Maniacs, AVX, Collection Maker Home Page, Drop the virus, DVC, HCDS, Hecatombe, Hex Files, Internet Virii Collecting Group, Kefrens, My Fantasy Viruses Trading Centre, nUcLeii's world, Realm Electronic Magazine, Siberian Bears Virus Club, SpyjureNet Virus, The Virus Bunkerz, Top Device, Ultimate Chaos, Undernet #virus's, Virii Argentina, Virus Brasil, Virus Dungeon, Virus Info Center, Virus List, Virus Quarantine, VXD-NET, VX Heavens, VX India
Do-It-Your Self BaussatzDo-It-Your Self Baussatz oder; Virenschreiben für Dummiesoder; Virenschreiben für Dummies
DarkChasm's Word 97 Macro Virus Construction Kit
Nach Betätigung der Schaltfläche OK erzeugt das MVCK automatisch ein Dokument das mit einem funktionsfähigen Makrovirus infiziert ist.
© 2002 IKARUS Software© 2002 IKARUS Software
Folgende Makros stehen zur Wahl:
AutoOpen
AutoClose
FileSaveAs
FileSave
FilePrint
EditFind
ToolsWordCount
WURM -WURM - Generator Generatoroder; Virenschreiben für Dummiesoder; Virenschreiben für Dummies
[K]Alamar VBS Worm Generator
© 2002 IKARUS Software© 2002 IKARUS Software
Trojan -Trojan - Generator Generatoroder; Trojanerschreiben für Dummiesoder; Trojanerschreiben für Dummies
© 2002 IKARUS Software© 2002 IKARUS Software
Scanner – StrategienScanner – Strategien Technologie-BasierendTechnologie-Basierend
ON – DEMANDON – DEMAND„„manuelle“ Scanen von manuelle“ Scanen von Anwenderdefinierten DateienAnwenderdefinierten Dateien
ON – ACCESSON – ACCESS„„online“ – Überwachung von allen online“ – Überwachung von allen virenrelevanten Systemvorgängenvirenrelevanten Systemvorgängen
Scheduler - „Getriggert“Scheduler - „Getriggert“
© 2002 IKARUS Software© 2002 IKARUS Software
Oneline-Wächtern Oneline-Wächtern (Guard, Shield, etc)(Guard, Shield, etc)
Gateway-ScannernGateway-Scannern
(Mailwall, Viruswalls, etc(Mailwall, Viruswalls, etc
ApplikationsbasierendApplikationsbasierend
(Integration einer (Integration einer Scanner-dll)Scanner-dll)
Scanen auf „Knopfdruck“Scanen auf „Knopfdruck“
Browser - PluginBrowser - Plugin
Scanner – Strategien Scanner – Strategien „Organisations“-Basierend„Organisations“-Basierend
Black – List - AnsatzBlack – List - AnsatzVORDEFINIERTE Dateien (-Typen) oder VORDEFINIERTE Dateien (-Typen) oder Inhalte DÜRFEN NICHT ausgeführt Inhalte DÜRFEN NICHT ausgeführt oder verbreitet werdenoder verbreitet werden
Weniger restriktiv, ermöglich Weniger restriktiv, ermöglich jedoch ein flexibleres jedoch ein flexibleres Risikomanagement, allerdings Risikomanagement, allerdings extrem wartungsintensivextrem wartungsintensiv
© 2002 IKARUS Software© 2002 IKARUS Software
Unterschiedliche Unterschiedliche Gruppendefinitionen ermöglichen Gruppendefinitionen ermöglichen einen optimal angepassten einen optimal angepassten VirenschutzVirenschutz
Erfordert genaue Analyse möglicher Erfordert genaue Analyse möglicher Bedrohungs-Szenarien der für den Bedrohungs-Szenarien der für den Arbeitsprozess eingesetzten Arbeitsprozess eingesetzten Systeme, Dateien und Mitarbeiter.Systeme, Dateien und Mitarbeiter.
Firewall
Standorte der VirenscannerStandorte der Virenscanner
© 2002 IKARUS Software
Mailserver
Fileserver Clients
Proxy
Virus Scan
Virus Scan
Virus Scan
Virus Scan Virus
Scan
R.I.P.R.I.P.
R.I.P.
R.I.P.
Provider
das leidige Themadas leidige Thema
© 2002 IKARUS Software© 2001 IKARUS Software
der neue Wegder neue Weg
© 2002 IKARUS Software© 2001 IKARUS Software
gehosteter Virenschutzgehosteter Virenschutz
© 2002 IKARUS Software© 2001 IKARUS Software
über IKARUS Scan-Centerüber IKARUS Scan-Center über ISPüber ISP
© 2002 IKARUS Software© 2001 IKARUS Software
gehosteter Virenschutzgehosteter Virenschutz
hat einen Namenhat einen Namen
ISP/ASPISP/ASP
Nachteile- interner Mailverkehr wird nicht überprüft;- nicht alle Inhalte können gescannt werden (Verschlüsselung, Passwörter);
© 2002 IKARUS Software
Provider
Vorteile– vorverlegte „First Line of Defense“– nur „vorgefilterter“ Traffic/geringerer Anteil an Viren– höchste Ausfall-Sicherheit /Entsprechendes Know-how– keine Installation – Problem wird zum Teil „outgesourced“ – eigene Ressourcen
werden geschont– 24h x 7 Tage Wartung der Software– Scannt den gesamten SMTP-Verkehr mit Hilfe von 3 verschiedenen Scannern– Benachrichtigt Sie über Incidents per Email
ISP/ASPISP/ASP
© 2002 IKARUS Software
ISP/ASPISP/ASP
© 2002 IKARUS Software
Firewall/ProxyFirewall/Proxy/MailserverMailserver
Vorteile– zentrale Verwaltung– nicht nur E-Mail Scan (auch HTTP, FTP)– vermeidet, daß Viren bis auf LAN Server gelangen– Verhindert Relaying der Mailserver– „Black“- und „White“-List Ansätze– ermöglicht den Einsatz weiterer „Filter“
Nachteile– interner Datentransfer (via Fileserver) wird nicht überprüft– nicht alle Inhalte können gescannt werden (Verschlüsselung,
Passwörter)– erfordert schon bestimmtes Know-how– möglicher Ausfall bei Problemen
© 2002 IKARUS Software
Firewall
Proxy
Mailserver
FirewallFirewall
© 2002 IKARUS Software
FileserverFileserver Vorteile
– zentrale Virenüberwachung– einfachere Umsetzung von Virenschutzmaßnahmen– zentrale Konfigurierung – verhindert Großflächige Ausbreitung / hält Infektionen lokal– kann nicht/kaum vom Anwender umgangen werden
Nachteile
– nicht alle Inhalte können gescannt werden (Verschlüsselung, Passwörter)
– Performance– bei Problemen „steht“ der Fileserver unter Umständen
© 2002 IKARUS Software
File- Server
ClientClient
Vorteile– alle Dateien können gescannt werden (z.B: nach dem Entpacken
eines Archivs bzw. nach dem Entschlüsseln einer Datei.– höhere Ausfallsicherheit auf Grund der dezentralen Ausrichtung– Stand Allone PC´s und kleiner PC Gruppen können überwacht werden
Nachteile– dezentrale Verwaltung– mehr Aufwand für Updates– kann vom User unter Umständen deaktiviert werden
© 2002 IKARUS Software
Clients
© 2002 IKARUS Software
Was uns erwartetWas uns erwartet
Anzahl und Variationen steigen, Hardwareschäden werden modernAnzahl und Variationen steigen, Hardwareschäden werden modern
Multi-Office Makro VirenMulti-Office Makro Viren
IRC/ICQ/Pirch Viren IRC/ICQ/Pirch Viren
Steigende Netzwerkfunktionalität (Verknüpfung Wurm/Trojaner)Steigende Netzwerkfunktionalität (Verknüpfung Wurm/Trojaner)
Entwicklung neuer Angriffstrategien (Wurm/DDOS)Entwicklung neuer Angriffstrategien (Wurm/DDOS)
Angriffe gegen PDC/PDA, „WAP-Viren“Angriffe gegen PDC/PDA, „WAP-Viren“
Angriffe gegen Service Provider (ASP´s)Angriffe gegen Service Provider (ASP´s)
Verstärktes Auftreten von BackdoorProgrammenVerstärktes Auftreten von BackdoorProgrammen
Offensive Code (Samhain)Offensive Code (Samhain)
Linux/Unix Dervivat-MalwareLinux/Unix Dervivat-Malware
• Mangelndes Problembewußtsein
• Fehlendes Know How
• Fehlende Ressourcen
• Inadequate Weiterführung /Dynamik des Problems überwiegt die Dynamik der Aufwendungen
KKK – Klassischen-Ko-KriterienKKK – Klassischen-Ko-Kriterien
© 2000 IKARUS Software