1 / 32

Vírusok és vírusvédelem Bódis Ákos, biztonsági szakértő

Vírusok és vírusvédelem Bódis Ákos, biztonsági szakértő. Magamról. Sunbelt VIPRE termékcsalád képviselet Magyarország + Románia és a környező országokban 12 éve dolgozom a szakmában: VirusBuster web/marketing 3 év ESET informatikai vezető 5 év Sunbelt ügyvezető 4 év. A kezdetek.

nike
Download Presentation

Vírusok és vírusvédelem Bódis Ákos, biztonsági szakértő

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Vírusok és vírusvédelemBódis Ákos, biztonsági szakértő

  2. Magamról • Sunbelt VIPRE termékcsalád képviseletMagyarország + Románia és a környező országokban • 12 éve dolgozom a szakmában: • VirusBuster web/marketing 3 év • ESET informatikai vezető 5 év • Sunbelt ügyvezető 4 év

  3. A kezdetek • 1971: Creeper féreg az ARPANET-en • 1983: „Számítógépes vírus” szóhasználat • 1986: Brain boot-szektor vírus,az első PC vírus (DOS) • 1994: OneHalf: az első „vírusom” • 1998: CIH vírus a BIOS-t is tönkreteszi

  4. 1999 – 2002 • 1999: Melissa makróvírus óriási email forgalmat generál • 2000: ILOVEYOU féreg 1 nap alatt az egész világban elterjed és 1000-2000 milliárd forint kárt okoz: ez Salgótarján 100-200 éves költségvetése • 2001: Anna Kournikova, Sircam, Code Red, Nimdaés Klez

  5. 2003 • 2003: SQL Slammer néhány másodperc alatt terjed szét a világon és 100.000 szervert fertőz meg az első pár percben • Ezévben érkezik meg a Blaster is:

  6. 2004: ismét izgalmas év • 2004: MyDoom: a leggyorsabban terjedő email féreg • Ezévben jön még a Netsky, Bagle, Sasser és megjelenik az első Virtumonde:

  7. 2005:pusztítás helyett lopakodás • Új szemlélet: a világméretű fertőzésekkel már nem kárt okoznak, hanem pénzt keresnek • Zlobtrójai megjelenése:videók lejátszásához szükséges kodek, felhasználói jóváhagyással települ

  8. az első kártevő macre • 2006: Leap: az első trójai Mac OS X operációs rendszerre • 2007: Storm féreg több mint 10 millió számítógépből álló botnetet épít • Rustockrootkit a lopakodás iskolapéldája: hónapokig-évig? nem fedezik fel

  9. Ezévben • 2010 június: Stuxnet felfedezéseSCADA ipari rendszereket támad, nukleáris létesítmények, elektromos hálózat, gyárak irányító rendszerei • Napjainkban háttérbe szorulnak a technikai megoldások, a felhasználót sokkal könnyebb rávenni egy trójai futtatására

  10. Vírus, kémprogram, trójai? • Több mint 20 millió károkozó • A VIPRE kutatólaborjaiban napi30-60.000 vírusmintát elemeznek • Gyakorlatilag másodpercenként„születik” egy új vírusminta • Vírusnak hívunk mindent: kémprogram, trójai, rootkit, féreg, hátsó ajtó, stb.

  11. A Vírus • Önmagát replikálni képes • Fertőző program Jelentős programozói tudást igényel, általában más programokhoz (vagy bootszektorhoz) hozzákapcsolódva fertőz tovább. Például: OneHalf

  12. A FÉREG • Hálózaton terjedő károkozó • Önálló fájl, nem fertőz meg más programokat Sebezhetőségek kihasználásával terjed. Például: MyDoom (email) és Conficker (fájl)

  13. A Trójai • Hasznos programnak tűnik, de mást (is) csinál mint amire tervezték • Trójai faló: Trójában másra számítottak Például: egy fertőzött számológép, ami a háttérben károkozókat tölt le és adatokat lop

  14. A rootkit • Beépül az operációs rendszer magjába és még a víruskeresőtől is elrejti magát • Majd távolról fogad parancsokat és észrevétlenül teszi a feladatát • BIOS rootkit: új Windows telepítést is túlél Például: TDSS rootkit

  15. A Hátsó ajtó (backdoor, RAT) • Hátsó ajtót nyit a számítógépen, vagyis távolról irányíthatóvá teszi a gépet • RAT = RemoteAdministrationTool Például: Mydoom 3127-es portontávirányíthatóvá teszi a fertőzött gépet

  16. A Kémprogram (SpywarE) • Adatokat lop a számítógépről: • Billentyűzetlenyomásokat rögzít • Képernyőképeket küld • Követi a böngészést • Összegyűjti a dokumentumokat, emaileket • Ellopja a programlicenceket, játékkódokat • Ellopja a belépési adatokat (pl.: WoW) Például: Wowcraft jelszólopó, ellopja a WoW belépési adatokat amiket később eladnak

  17. A reklámprogram (adware) • Kéretlen reklámokat jelenít meg • Figyeli a böngészőt és/vagy billentyűzetlenyomásokat, és az alapján jelenít meg kapcsolódó reklámot Például: böngészés közben váratlanul felugró reklámablak (ha nem a böngésző nyitotta).

  18. Átverés (scareware) • Átveri a felhasználót, például vírusirtóként jelenik meg és több száz fertőzést mutat • A megoldáshoz pénzt kér és ráveszi a felhasználót a program megvásárlására Például: a rengeteg hamis antivírus

  19. Malware • Az összes károkozótípust vírus helyett szakszerűen malwarenek hívjuk • Vírus: fájlokat fertőz • Féreg: hálózaton terjed • Trójai: mást tesz, mint aminek látszik • Rootkit: elrejti magát a kernelben • Hátsó ajtó: távolról irányíthatóvá teszi a gépet • Kémprogram: adatokat lop • Reklámprogram • Hamis antivírusok és átverések • A mai károkozók: ezek tetszőleges kombinációi

  20. Mire megy ki az egész? • A kezdetekkor:hírnév és technikai demonstráció,„megmutatom, hogy lehet ilyet is” • Most: pénzszerzés és szervezett bűnözés, terrorizmus és katonai célok  de hogy lesz ebből pénz?

  21. Pénz, pénz, pénz • Szinte bármivel pénzt lehet keresni! • Fertőzött számítógépről minden ellopható: • Ellopják a bankkártya adatokat (billentyűzetnaplózás) • Ellopják a licenckulcsokat és újra eladják a programokat és játékokat • Ellopják az értékes belépési adatokat:banki kódokat, értékes virtuális javakat(WoW, póker, fogadás, stb…)

  22. Pénz, pénz, pénz • Fertőzött számítógép bármire használható: • Milliószám küld spamet • Kibérelhető zsarolásra: 1 millió számítógép bármelyik cég honlapját megbénítja hetekre • Átveri a felhasználót hamis vírusirtókkal • Reklámokat jelenít meg • Kibérelhető bármilyen szuperszámítógépes feladatra, például titkosítás feltörése • Terrortámadás: Grúzia és Azerbajdzsán(dél-oszétiai háború idején)

  23. Russian Business Network • Kiberbűnözés mintapéldája: • internetszolgáltató • vírusfejlesztő • Storm botnet irányítója(kb. 50 millió fertőzött gép) • 30-50 milliárd forint éves bevétel:a 7. leggazdagabb „magyar” lehetne egy év alatt a tulajdonos

  24. Védekezés • 1989 júniusi Virus Bulletinmind a 30 db ismert vírus hexadecimális mintáját közreadják egy táblázatban:

  25. A védelem problémája • Már 1989 óta a bűnözők vannak előnyben:a vírusvédelmek csak reagálni tudnak az új fenyegetésekre • Ez sosem fog meváltozni: ha adott egy védelem (például másolásvédelem), akkor azt valahogy ki lehet játszani • Vagy ki lehet kapcsoltatni a felhasználóval:  átverések és adathalászat

  26. Antivírusok • A vírusok terjedésével elkezd fejlődni az antivírus piac • A mai napig számos új technológia jelenik meg: a VIPRE vírusirtó is mindössze 3 éves • Egyre komplexebb védelmek: a régi megoldások lelassulnak, gyorsan elavulnak és átveszik a helyüket a teljesen újraírt víruskereső motorok

  27. hogyan működik? VIPRE Antivirus Premium végpontvédelmi rendszer: • Óránként frissíti magát (adatbázis és program egyaránt) • Minden programot (.exe, .dll) ellenőriz futás előtt • Minden fájlt és adathordozót átvizsgál (pl.: autorun.inf) • Felügyeli a meglátogatott honlapokat és kiszűri az ismert káros weboldalakat • Szűri a hálózati forgalmat és blokkolja a káros szerverekkel való kapcsolatfelvételt • Átvizsgálja az emaileket és eltávolítja a férgeket, a fertőzött fájlokat és a káros linkeket • Megállítja a sebezhetőségek elleni hálózati támadásokat • Blokkolja a gyanús programokat (pl: kódinjektálás)

  28. hogyan ismerjük fel a károkozót? • Egyezés egy már azonosított kártevővel • Pl.: név alapján letartóztatott bűnöző • Heurisztikus elemzés • Pl.: letartóztatás fegyverviselés miatt • Viselkedéselemzés • Pl.: agresszív vagy gyanús viselkedés miatt • Program működésének felügyelete • Pl.: bolti lopás azonosítása kamerával

  29. MX-Virtualization A memóriában futtatás nélkül vizsgálja a program viselkedését: • kivágja a „hosszabb” kódrészleteket: például egy 1000x lefutó ciklusnál az a lényeg, hogy mit csinál, nem az hogy hányszor • gyanús viselkedést keres: programfájlok írása, szokatlan hálózati kommunikáció (például email közvetlen kiküldése), dokumentumok összegyűjtése, billentyűzetlenyomások figyelése, stb…

  30. Felhasználó szerepe • A high-tech, folyamatosan fejlődő víruselemző módszerek mellett elkerülhetetlen a felhasználó felelőssége • Idegen fájlok, gyanús csatolmányok megnyitása • Átlátszó átverések: miért felejti el a bankom a jelszavamat? • Ha megtörtént a fertőzés: hibaüzenetek, lefagyások, adatvesztés

  31. mit csináljunk fertőzés esetén? • Töltsünk le egy mentőeszközt, például az ingyenes VIPRE Rescue • Húzzuk ki a számítógép hálózati kapcsolatát, hogy ne frissüljön/működjön a kártevő • Próbáljunk csökkentett módban víruskeresést indítani • Forduljunk szakemberhez,vagy Windows újratelepítés/visszaállítás

  32. Köszönöm a figyelmet! Megtalálhattok bennünket a honlapunkon: www.vipre.hu

More Related