A vírusvédelem és a biztonságvédelem új

kihívásai

Szappanos Gábor

Neumann-elv

• Tárolt program elv: adat és kód ugyanott tárolódik, szerepe felcserélődhet

• Mi az adat?Szöveges dokumentum?Elektronikus levél?Adattároló CD?MP3 zene?

• Adatvesztés

• Adat kiáramlás

• Kiesett munkaidő

• Szándékos rombolás

• Rendelkezésre nem állás

Vírusok által okozott károk

1000 PC-re jutó fertőzések aránya /ICSA

1996 1997 1998 1999 2000 2001 2002

0

40

80

120In

cide

nsek

3

hóna

p al

att

Vírusok típus szerinti megoszlása / Virus Bulletin

1996 1997 1998 1999 2000 2001 2002 2003

Boot

File

Macro

Script

I-Worm

Pillanatnyi helyzetkép

0

200

400

600

800

1000

1200

1400

2000

. Okt

2001

. Feb

r

2001

. Jún

2001

. Okt

2002

. Feb

r

2002

. Jún

2002

.Okt

2003

.Feb

2003

.Jun

Vírussal fertőzött e-mail üzenetek / MessageLabs

Goner

Badtrans.B Klez.HSircam

Homepage

Yaha Sobig.B

Sobig.F

Út a csúcsra

1990 Form 3 év

1995 Concept 4 hónap

1998 Melissa 4 nap

1999 Loveletter 4 óra

2003 SQLSlammer 5 perc

• A vírus felbukkan valahol a nagyvilágban

• Felhasználó beküldi

• Víruslabor elemzi

• Elkészül az adatbázis frissítés

Reaktív vírusfeldolgozás

~ 3 óra

E-mail vírus életciklusokMyparty.A – 3 nap

Klez.H – 10 hónap

Vírus terjedési modellek

… végül a valóság idomult a modellhez

• Nem-rezidens, direkt vírus fertőzési modell (Gleissner, 1989)

• Irányított és véletlen gráf modell (Kephart-White, 1991)

• Homogén terjedési modell (Solomon, 1990)

00 'tt

agt

ageetN

•t0 felismerésig eltelt idő

•a, a‘: elnyelési arány

•g: sokszorozási arány

•τ: ciklusidő

•boot vírus ~ 1

•I-Worm ~ 50

•boot vírus ~ 1 hét

•I-Worm ~ 1 óra

Terjedési modell

t

agetN

Generation history of Mimail

0

100

200

300

400

500

600

700

0 5 10 15 20 25 30

Generation

Min

ute

s el

apse

d

Modellezés

• Védett gépek arányának növelése több víruskereső

• Vírusincidens esetén katasztrófaterv gyors víruselhárítás

Mi a teendő? – védettség növelése

Modellezés 1 végső absz. 2 -> 3

• Megelőző vírusvédelmi módszerek:heurisztikaemuláció

• Diverzitás növelése

• Behatolási pontok védelme

• Biztonságosabb rendszerek használata

• Biztonsági javítások feltelepítése

Mi a teendő? – kezdeti védettség növelése

Modellezés 2 absz. 1.7 -> 1.6

• Víruskeresők közötti együttműködés

• Vírusadatbázis SOS frissítése

• Rendszergazdák informálása

• Frissítések azonnali szétterítése(cégen belül pull helyett push)

Mi a teendő? – reakcióidő csökkentése

Modellezés 3 120 -> 90

Munkára fel!