Kampf gegen bösartige Websites
Transcription
Kampf gegen bösartige Websites
Business Communication Kampf gegen bösartige Websites (10:50 Uhr, Track 1) Wie schützt man sich vor infizierten Websites? Dr. Thomas Dübendorfer, Google Switzerland GmbH Thomas Weihrich, 2w Business Communications Alex Bachmann, Studerus AG www.2wbc.ch - Unternehmensberatung für Informatik und Organisation TEFO 2011, 24.11.2011, Zürich Kampf gegen bösartige Websites Dr. Thomas Dübendorfer Software Engineer und Tech Lead Google Switzerland GmbH 1 Referent Dr. Thomas Dübendorfer • Präsident, Information Security Society Switzerland (www.ISSS.ch) • Staff Software Engineer and Tech Lead, Google Switzerland GmbH • Dozent, ETH Zürich Ausbildung Dr. sc., Dipl. Informatik-Ing., ETH Zürich (ISC)2 Certified Information Systems Security Professional CISSP Kontakt Email: [email protected] Web: http://thomas.duebendorfer.ch/ Drive-By Downloads 3 Quiz Was haben diese Websites gemeinsam? • Department of Homeland Security • United Nations • UK Civil Service • Funjet Vacations • Howaboutlunch.ch (Blind date service) • Swiss TrendNet Support Knowledge Base Sie wurden alle im April 2008 gehackt ... wie 510’000 andere Webseiten (.ASP SQL injection) Weiterführende Informationen: http://www.f-secure.com/weblog/archives/00001427.html Anteil bösartiger URLs nach Inhaltskategorie Referenz: Niels Provos et al., Google 2008, http://research.google.com/archive/provos-2008a.pdf 6 Fallstudie: Bösartige Website in der Schweiz Diese Website wurde gehackt, um Malware-Downloads einzubinden. <iframe src= "http://try-cxxxxxx/strong/023/" width=1 height=1 style="visibility: hidden"> </iframe> Installierte Malware: • Keylogger • Generische Downloader • Bots • Malware Überwachungsagenten • Dialer Der Webmaster wurde informiert. Wie sicher ist weit verbreitete Software? 8 Sicherheitsschwachstellen in Top Software Produkt 2009 2010 Trend Adobe Flash 23 56 +143% Adobe PDF Reader 56 116 +107% Microsoft Internet Explorer 36 51 +42% Microsoft Windows Vista 59 90 +53% Microsoft Windows 7 5 (seit 22. Okt. 2009) 75 k.A. Auswirkungen bei Ausnützen der Schwachstellen: • Internet Explorer: Systemzugriff, Zugriff auf sensitive Daten etc. • Windows 7: Systemzugriff, erhöhte Zugriffsrechte, Dienstverweigerung (Denial of Service), Datenmanipulation etc. Ca. 75 Sicherheitsupdates von 22 Herstellern pro Jahr und Heim-PC! Abhilfe: Secunia PSI http://secunia.com/PSI scannt PC nach verfügbaren Updates. Gratis für Heimbenutzer. Apple Safari 5.0.5 Sicherheitsupdate Sicherheitspatch für Schwachstelle in Webbrowser Apple Safari verfügbar am 14.4.2011. Schwachstelle betrifft: • Apple Safari 5 (Windows) • Apple Safari 5 (Mac OS X 10.5 und 10.6). Auswirkung der Schwachstelle: Der Besuch einer in böswilliger Absicht erstellten Website kann zu einem unerwarteten Programmabbruch oder zur willkürlichen Codeausführung führen. Referenz: Apple Support „Informationen über den Sicherheitsinhalt von Safari 5.0.5 “ vom 14.4.2011, http://support.apple.com/kb/HT4596?viewlocale=de_DE 2011: Apple Safari 5.0.5 Update installiert? 4% 45% veraltete Webbrowser im Einsatz global (im Jahr 2008) 5.0.5 45% 51% 5.x (älter als 5.0.5) 4.x und älter Anteile der Apple Safari Webbrowser-Versionen unter Windows 7 in Benutzung (für Google Suchanfragen) drei Wochen nach Verfügbarkeit des kritischen Security-Updates 5.0.5. Quellen: [2011] Google, 2011, [2008] „Understanding the Web Browser Threat“, Frei S., Dübendorfer T., DEFCON 2008 Browser Update: Effektivitätsmessungen 97% 85% 53% 33% 24% Anteil der aktualisierten Webbrowser (innerhalb gleicher Hauptversion), welche Google’s Webserver besuchten über 21 Tage nach verfügbarem Sicherheitsupdate. Referenz: „Web Browser Security Update Effectiveness“, Dübendorfer T., Frei S., CRITIS 2009 Google SafeBrowsing Dank an Niels Provos und Noé Lutz von Google, Inc. für Ihren Input. 13 Schutz des Benutzers vor bösartigen Websites Google SafeBrowsing schützt vor bösartigen Websites (Phishing, Drive-By Download). Warnhinweis bei Google Suchresultaten, die auf bösartige Websites zeigen. Betroffener Webmaster wird informiert, der ISP (Autonomous System) kann die SafeBrowsing-Liste für sein Netzwerk anfordern. Warnung vor bösartigen Websites seit Firefox 3 Google Chrome, Apple Safari und Mozilla Firefox benutzen das Google SafeBrowsing API zur Überprüfung auf bösartige URLs zum Schutz des Websurfers. Sicherheitshinweise für Webmaster und Surfer Gratis Google Webmaster-Tools bieten dem Webmaster Sicherheitsdetails bei entdeckter Malware oder unsicherer Software: http://www.google.com/webmasters/ Top Countries Hosting Phishing Websites Oktober 2010: Nach Ort der IP-Adressen von entdeckten Phishing-Websites. Referenz: Okt. 2010, Google, SafeBrowsing Legende: ■ < ■ < ■ < ■ (log scale) Top Countries Hosting Phishing Websites November 2011: Nach Ort der IP-Adressen von entdeckten Phishing-Websites. Referenz: Nov. 2011, Google, SafeBrowsing Legende: ■ < ■ < ■ < ■ (log scale) Phishing Hosting nach Top Level Domain 242 (April 2011) ch: Referenz: 26.4.2010, Google, SafeBrowsing project 902 (Okt. 2011) Malware Hosting nach Top Level Domain 434 (April 2010) ch Referenz: 26.4.2010, Google, SafeBrowsing project 188 (Okt. 2011) Weitere gratis Sicherheitstechniken von Google • Google Chrome: Web Browser, der Hackern von Pwn2Own 2010 am längsten standhielt Auto-Updates alle sechs Stunden Führt Adobe Flash Updates wesentlich schneller aus als Standardupdateroutine • SecBrowsing: schaltet unsichere Plug-ins in Chrome automatisch ab auch für Microsoft Internet Explorer und Mozilla Firefox: http://secbrowsing.appspot.com/ • Google Public DNS Server: IPv4: 8.8.8.8, 8.8.4.4; gibt es auch für IPv6 Details: http://code.google.com/intl/de/speed/public-dns/docs/using.html 21 Danke für Ihre Aufmerksamkeit Referent: Dr. Thomas Dübendorfer 22 Referenzen • Google Webmaster Tools https://www.google.com/webmasters/tools/ • XML feed for AS owners with malware and phishing URLs detected by Google SafeBrowsing http://googleonlinesecurity.blogspot.com/2010/10/phishing-urls-and-xmlnotifications.html • Dübendorfer Thomas, Frei Stefan. Why Silent Updates Boost Security, May 2009 http://www.techzoom.net/papers/browser_silent_updates_2009.pdf • Niels Provos, Panayiotis Mavrommatis, Moheed Abu Rajab, and Fabian Monrose. All Your iFRAMEs Point to Us. Google Technical Report. Feb 2008. http://research.google.com/archive/provos-2008a.pdf • Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wang, and Nagendra Modadugu. The Ghost in the Browser: Analysis of Web-based Malware. In Proceedings of the first USENIX workshop on hot topics in Botnets (HotBots '07), April 2007. http://www.usenix.org/event/hotbots07/tech/full_papers/provos/provos.pdf 23 Front Business Communication Kampf gegen bösartige Websites Praxis im KMU Betrieb Thomas Weihrich www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Die Firma 2wbc GmbH bietet Ihnen ein komplettes Leistungsangebot, das Ihre Informatik-Bedürfnisse vollständig abdeckt. Unser Schwerpunkt liegt dabei auf der praxisbezogenen Beratung und der kundenorientierten Projektleitung. Gegründet 2003, 12 Mitarbeiter, eigentümergeführt Kunden im Raum Ostschweiz, Schweiz, Österreich, Deutschland und Westafrika Thomas Weihrich Grundausbildung Maschinenbau, Informatiktechniker TS, Nachdiplom NDS HTL/ITR 10 Jahre Software Engineering + 15 Jahre IT Systembau / Gesamtlösungen www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication INHALT • Was wir beim KMU antreffen • Empfehlungen zur IT Infrastruktur beim KMU • Verbesserungen am Internetzugang • Erfahrungen mit Content Filtern • Zusammenfassung www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Erste Eindrücke beim KMU • Der Mitarbeiter im KMU Betrieb ist fokussiert auf seine Aufgaben und kümmert sich nicht um seine EDV Arbeitsmittel • Warnmeldungen werden erst dann wahrgenommen, wenn diese penetrant und störend sind oder der PC bereits nicht mehr richtig funktioniert • Der PC im KMU ist ‘lokal’ administriert • Benutzer verfügen über umfangreiche Rechte (Administrator) • Der Internetzugang läuft über ein vom Provider gratis zur Verfügung gestelltes Modem/Router • Kollege war behilflich beim Einrichten… www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Weitere Eindrücke beim KMU • Gratis Virenschutz ist gemäss Presse gleich gut, darum werden auch gleich zwei davon installiert… • Updates machen den PC langsam – besser deaktivieren… • Mit mehreren installierten Browsern hat man immer den richtigen gleich zur Hand… • Viele Gratis-Tools erhöhen die Produktivität und die Individualität • Programme, Tools und AddOns funktionieren im Originalzustand • Keine Richtlinien/ Policy zum Gebrauch des Internets • Wenig Basiswissen zum Internet www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Empfehlungen zur IT Infrastruktur beim KMU • Regelmässige Updates für – Server OS, – Client OS – Programme und AddOns • Update Verwaltung und Steuerung durch – WSUS (Gratis von Microsoft) – System Center Essentials o.A. • Virenschutzlösung – mit zentraler Verwaltungskonsole – auf Server und Client installiert www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Empfehlungen zur IT Infrastruktur beim KMU • Minimalinstallation – Kundenimage ab 3 PC über Bereitstellungsdienst – Verzicht auf unwichtige AddOns • Nur notwendige lokale Rechte – Keine Administratorenberechtigung – Benutzerkontensteuerung aktiviert – Feinsteuerung über zentrale GPO • Regelmässige Systemüberprüfungen – Kontrolle mit Checkliste – Überwachung mit automatischer Benachrichtigung www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Problemlösung beim Internetzugang • Einsatz einer All-In-One Firewall Lösung mit – – – – Intrusion Detection and Prevention (IDP) Antivirusfilter (AV) Contentfilter (CF) AntiSpam (AS) • Schulung der Anwender – Aufklärung und Sensibilisierung • Firmenrichtlinien – Regelung der Internetverwendung – Erlassen von Verhaltensrichtlinien www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Firewall Einstellungen www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Antivirus (AV) • Schutz der LAN Zone vor Viren aus dem Internet www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Antivirus (AV) • Scan der verfügbaren Protokolle • Scan von Anhängen www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Nutzen vom Content Filter (CF) • Schutz der IT Infrastruktur vor Malware • Schutz des Anwenders vor unerwünschten Inhalten • Kinder- und Jugendschutz • Reduktion der Ablenkung und Fokussierung auf das Wesentliche • Bandbreitenoptimierung • Information über das Surfverhalten www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Content Filter (CF) www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Content Filter (CF) www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Content Filter (CF) www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Erfahrungswerte Blocked www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Erfahrungswerte Passed www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Erfahrungswerte kurz nach Einführung CF www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Erfahrungswerte nach Schulung www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Erfahrungswerte CF www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Zusammenfassung • • • • • • • • • Patch Management für alle eingesetzten Komponenten Zentralisierte Verwaltung und Überwachung der Systeme Reduktion auf die notwendigen Anwendungen Reduktion auf die notwendigen Rechte Regelmässige Checks All-in-One-Firewall richtig konfiguriert Business Content Only Aufklärung und Schulung Richtlinien www.2wbc.ch - Unternehmensberatung für Informatik und Organisation Business Communication Schutz vor „Drive-by“ Infektion – Content-Filter mit gültiger Content-Filter-Lizenz www.2wbc.ch - Unternehmensberatung für Informatik und Organisation BusinessInhaltskategorie Communication Anteil bösartiger URLs nach - Unternehmensberatung für Informatik und Organisation Referenz: Niels Provoswww.2wbc.ch et al., Google 2008, http://research.google.com/archive/provos-2008a.pdf 2 8 Business Communication Wahl der Content-Filter-Kategorien www.2wbc.ch - Unternehmensberatung für Informatik und Organisation