Antivírics i seguretat

Introducció al sistemad'antivírics de la UB

MMVIII Universitat de Barcelona

27-6-2008 Serveis a Usuaris (Àrea de TIC) 2

Virus informàtics

Definició informal Variants Història Cronologia Nomenclatura Exemples

27-6-2008 Serveis a Usuaris (Àrea de TIC) 3

Definició informal

Programa què té per objectiu alterar el normal funcionament de l’ordinador, sense el permís o el coneixement de l’usuari

Fa còpies de si mateix per infectar altres ordinadors

27-6-2008 Serveis a Usuaris (Àrea de TIC) 4

Definició virus biològic (informal)

Entitat biològica què per replicar-se necessita una altra cèl·lula

La replicació a vegades destrueix la cèl·lula i l’organisme hoste

Ésser viu? Llatí: virus,viri (verí)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 5

Virus T4 (representació)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 6

Variants I

Virus (programes) Cucs (autònoms) Troians (ocults) Macros (miniprogrames) Virus falsos (“hoax”) Polimòrfics, combinats...

27-6-2008 Serveis a Usuaris (Àrea de TIC) 7

Variants IIa

Anuncis i propaganda (Adware) Porta trasera (Backdoor) Autoreplicants (Bomba fork) Autòmates (Bots) Errors d’aplicació (Bug) Galetes (Cookies)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 8

Variants IIb

Marcadors (Dialers) Registradors (Keystroke) Recolectors d’informació

confidencial (Phishings) Programes ocults (Rootkit) Correu no desitjat (Spam) Recolectors d’informació (Spyware) Finestres emergents (Popups)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 9

Mitjans de propagació

Disquets Correu electrònic Pàgines web Memòries USB

27-6-2008 Serveis a Usuaris (Àrea de TIC) 10

Història I

Bell Computers Core Wars (1949)

IBM 360 Creeper (1972)

UNIVAC Animal (1975)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 11

Història II

Apple II Elk Cloner (1982)

Frederick Cohen Tesi doctoral (1983) -> virus

Alexander Dewdney “Investigación y Ciencia” (1985) PC amb DOS

27-6-2008 Serveis a Usuaris (Àrea de TIC) 12

Cronologia I

1986: Brain (no destructiu) 1987: Jerusalem (destructiu),

Vienna, Stonned, Ping-Pong... 1988: Virus falsos, Viernes 13...

Norton Antivirus VIRUS-L (llista de correu)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 13

Cronologia II

1989: Fu-Manchu... F-Prot, ThunderBYTE...

1995: Concept virus (macro) 1999: Melissa (cuc) 2001: Code Red (IIS) 2004: Sasser ...

27-6-2008 Serveis a Usuaris (Àrea de TIC) 14

Nomenclatura I

TROJ_DADOBRA.EN TROJ_DADOBRA.ET TROJ_DADOBRA.EX TROJ_DELF.DWC TROJ_DELF.DWM TROJ_DELF.EFQ TROJ_DELF.EJY TROJ_DELF.EKS

WORM_WAREZOV.AN WORM_WAREZOV.AO WORM_YAHLOVER.BH

27-6-2008 Serveis a Usuaris (Àrea de TIC) 15

Nomenclatura II

F-SECURE

NAME: AgobotALIAS: Backdoor.Agobot, W32.HLLW.Gaobot, Gaobot, Win32/GaobotALIAS: Backdoor.Agobot.3.gen

Trend Micro

BKDR_AGOBOT.A Malware type: BackdoorAliases: Backdoor.Win32.Agobot.ep (Kaspersky), W32/Gaobot.worm.gen.d (McAfee), W32.HLLW.Gaobot.P (Symantec), BDS/Sdbot.Q.Plus (Avira), Mal/IRCBot-C (Sophos)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 16

Nomenclatura III

1 milió de virus Quantitat variable segons fabricant Famílies, variants, etc.

27-6-2008 Serveis a Usuaris (Àrea de TIC) 17

Virus Sasser

27-6-2008 Serveis a Usuaris (Àrea de TIC) 18

Virus Casino

27-6-2008 Serveis a Usuaris (Àrea de TIC) 19

Virus per a Linux

Virus Bliss OSF.8759 Staog

Cucs Linux/Lion Devnull

27-6-2008 Serveis a Usuaris (Àrea de TIC) 20

Motivacions dels creadors

Temps lliure Documentació (parcial) Propagació (lenta -> ràpida)

Nombre de PC Internet

Eines de desenvolupament SO propietaris i tancats

27-6-2008 Serveis a Usuaris (Àrea de TIC) 21

Problema

Rendiment del treball Pèrdua de dades

Informació Saturació xarxes Despeses de prevenció Formació tècnica

27-6-2008 Serveis a Usuaris (Àrea de TIC) 22

Solucions

Metodologia de treball Personals

Directives de seguretat Col·lectives

Capes de protecció Local Perimetral

27-6-2008 Serveis a Usuaris (Àrea de TIC) 23

Sistema antivírics UB

Ordinador personal Tallafocs general Sistema de correu

27-6-2008 Serveis a Usuaris (Àrea de TIC) 24

Ordinador personal

Antivíric Tallafocs Pegats de seguretat Antiespies Filtratge de correu

27-6-2008 Serveis a Usuaris (Àrea de TIC) 25

Antivíric

Control de virus coneguts Funcionaments anòmals Anàlisi heurística

Falsos positius

Actualitzacions (permanents) Aplicació Motor d’anàlisi Patrons de firmes

27-6-2008 Serveis a Usuaris (Àrea de TIC) 26

Tallafocs

Sortida i entrada de l’ordinador Protocol TCP/IP

TCP, IP, UDP, ICMP... Adreces IP

noms IP, màscares, dominis, localhost... Ports de connexió

1-65535 (1-1024 reservats)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 27

Ports reconeguts I 20/21/tcp FTP (dades/control) 22/tcp SSH, SFTP 23/tcp Telnet 25/tcp SMTP 53/tcp/udp DNS 80/tcp HTTP 110/tcp POP3 123/tcp/udp NTP 137/138/139/tcp/udp NetBIOS 161/tcp/udp SNMP 389/tcp/udp LDAP

27-6-2008 Serveis a Usuaris (Àrea de TIC) 28

Ports reconeguts II

445/tcp/udp Microsoft-DS 1863/tcp Microsoft Messenger 2049/tcp NFS 4662/tcp 4672/udp eMule 5400/5500/.../5900/tcp VNC 6881/6969/tcp BitTorrent 8080/tcp HTTPS ... 29920 Wi-Fi Nintendo ... 65535

27-6-2008 Serveis a Usuaris (Àrea de TIC) 29

Tallafocs de Windows

27-6-2008 Serveis a Usuaris (Àrea de TIC) 30

Llista de programes

27-6-2008 Serveis a Usuaris (Àrea de TIC) 31

Ports (entrada i sortida)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 32

Ports (avançat)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 33

Directives de seguretat

Tallafocs avançat de Windows Nivell de protocol i ports Entrada i sortida diferenciada

Directiva col·lectiva de la UB Preinstal·lada a les imatges de disc

27-6-2008 Serveis a Usuaris (Àrea de TIC) 34

Directives definides

27-6-2008 Serveis a Usuaris (Àrea de TIC) 35

Directiva de xarxa MS

27-6-2008 Serveis a Usuaris (Àrea de TIC) 36

Directiva de servidors I

27-6-2008 Serveis a Usuaris (Àrea de TIC) 37

Directiva de servidors II

27-6-2008 Serveis a Usuaris (Àrea de TIC) 38

Pegats d’aplicacions i sistema

Pegats normals Cosmètics Funcionalitats Errors de programació

Pegats de seguretat Sistema Aplicacions

Maquinari (Pentium IV)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 39

Pegats de Windows

Segon dimarts de cada mes Excepte greus vulnerabilitats

Categories Crítica Important Moderada Baixa

27-6-2008 Serveis a Usuaris (Àrea de TIC) 40

Categories

Crítica Permet la acció i difusió de virus

Important Compromet les dades (informació)

Moderada Funcionalitat sistema

Baixa Funcionalitat + dificultat

27-6-2008 Serveis a Usuaris (Àrea de TIC) 41

Configuració actualitzacions

27-6-2008 Serveis a Usuaris (Àrea de TIC) 42

Antiespies

Recolectors d’informació (Spyware) Programes què llegeixen informació

generada per les aplicacions, el correu electrònic, el navegador i el sistema operatiu Xifrar les dades no és la solució

27-6-2008 Serveis a Usuaris (Àrea de TIC) 43

Antiespies

Informació confidencial Adreces de correu electrònic Historial de pàgines web visitades Aplicacions instal·lades Informació del sistema

27-6-2008 Serveis a Usuaris (Àrea de TIC) 44

Web site : microsoft.comUser : angelFilename : angel@microsoft[1].txtSize : 589Hits : 33Accessed Date : 26-06-2008 11:54:39Modified Date : 26-06-2008 11:54:23Created Date : 26-06-2008 11:54:39

This cookie file contains 5 cookies:

Key : WT_FPCValue : id=161.116.236.165-261037280.29939570:lv=1214438078577:ss=1214466867108Domain : microsoft.comModified Date : 26-06-2008 11:54:38Expiration Date : 24-06-2018 1:54:38Secure : NoCreated In : Client

Exemple de galeta (cookie)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 45

Filtratge de correu

Filtres Capçaleres Contingut

Accions Enllaços Automatismes

27-6-2008 Serveis a Usuaris (Àrea de TIC) 46

Exemple de correu fraudulent (TM)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 47

OfficeScan (Trend Micro)

Locals (Sistemes Windows (2K)) OfficeScan

Estacions i servidors PC-Cillin

Portàtils i ordinadors particulars

Perimetrals (Correu) Virus i spam

27-6-2008 Serveis a Usuaris (Àrea de TIC) 48

Llicències

Llicència de volum 20.000 nodes Ordinadors particulars

PAS i PDI Aules d’informàtica

27-6-2008 Serveis a Usuaris (Àrea de TIC) 49

Característiques I

Control centralitzat Administració (consola web) Actualització Escanejat

Instal·lació remota Pàgina web (helena.ub.es) Paquet executable

(ftp, CD, login script...) Agent remot (distribuïdor)

27-6-2008 Serveis a Usuaris (Àrea de TIC) 50

Característiques II

Temps real, manual i programat Privilegis

Configuració Instal·lació

Unitats locals i xarxa Antivíric

NO: spyware, tallafocs

27-6-2008 Serveis a Usuaris (Àrea de TIC) 51

Sumari

27-6-2008 Serveis a Usuaris (Àrea de TIC) 52

Estadístiques I

27-6-2008 Serveis a Usuaris (Àrea de TIC) 53

Estadístiques II

27-6-2008 Serveis a Usuaris (Àrea de TIC) 54

Funcionament I

Aplicació (8.0) Escanejat manual i programat Actualització manual

Motors (serveis) Anàlisi (virus, spyware, rootkit) Actualització automàtica

Port 12345

27-6-2008 Serveis a Usuaris (Àrea de TIC) 55

Funcionament II

Patró de firmes Fitxer amb les definicions dels virus

lpt$vpn.### 23.7 MB (creixent...)

Separació de firmes: virus i spyware Oficial: senar (5.367.00) Beta: parell (5.368.02)

145 virus nous

27-6-2008 Serveis a Usuaris (Àrea de TIC) 56

Configuració Ia

27-6-2008 Serveis a Usuaris (Àrea de TIC) 57

Configuració Ib

27-6-2008 Serveis a Usuaris (Àrea de TIC) 58

Configuració II

27-6-2008 Serveis a Usuaris (Àrea de TIC) 59

Privilegis

27-6-2008 Serveis a Usuaris (Àrea de TIC) 60

Significat icones

Correcte Patró de firmes caducat Desconnectat Servei aturat Escanejant sistema

27-6-2008 Serveis a Usuaris (Àrea de TIC) 61

Tallafocs general UB

UBInternet

Tallafocs

27-6-2008 Serveis a Usuaris (Àrea de TIC) 62

Tallafocs general UB

Sortida i entrada de la xarxa Protocol TCP/IP Directiva de restriccions

Obert -> excepcions Control de servidors i serveis

Web, correu, ftp, etc. Comptabilitat, matrícula, etc.

27-6-2008 Serveis a Usuaris (Àrea de TIC) 63

Sistema de correu UB

Passarel·la de correu Comunicacions

Servidor de correu Sistemes

Antivírics i antispam Clam AV, Amavis, IMSS Spam Assassin, IMSS

27-6-2008 Serveis a Usuaris (Àrea de TIC) 64

Passarel·la de correu (actual)

Correu web

Tallafocs

ub.eduub.es

IMSSAntivirusAntispam

Passarel·la

ub.eduub.es

27-6-2008 Serveis a Usuaris (Àrea de TIC) 65

Passarel·la de correu I (futur)

Reputació d’adreça IP Llistes blanques i negres

Antivíric Motor especialitzat

Efectivitat i rendiment 95% refusat i 3% amb virus i spam Cua d’espera: 1000s -> 30s

27-6-2008 Serveis a Usuaris (Àrea de TIC) 66

Passarel·la de correu II (futur)

Correu webInternet

Tallafocs

ub.eduub.es

IronPortSophos

Passarel·la

27-6-2008 Serveis a Usuaris (Àrea de TIC) 67

Estadístiques I

27-6-2008 Serveis a Usuaris (Àrea de TIC) 68

Estadístiques II

27-6-2008 Serveis a Usuaris (Àrea de TIC) 69

Sistema de correu (antic)

Correu web

amavisextensionsTallafocs

Internet

PC usuari

Coll d’ampolla

27-6-2008 Serveis a Usuaris (Àrea de TIC) 70

Sistema de correu (nou)Correu webEntrada

ClamAVSpamAssassinextensions

Tallafocs

SortidaClamAVSpamAssassinextensions

Internet

PC usuari

27-6-2008 Serveis a Usuaris (Àrea de TIC) 71

Servidors corporatius

No tenen antivíric propi www.ub.edu ftp.ird.ub.es fitxers.ub.edu

Responsabilitat de l’usuari Seguretat local

27-6-2008 Serveis a Usuaris (Àrea de TIC) 72

Documentació

www.wikipedia.org alerta-antivirus.red.es www.forospyware.com www.viruslist.com www.cknow.com/vtutor/index.html

27-6-2008 Serveis a Usuaris (Àrea de TIC) 73

Conclusions

Definició virus i spyware Seguretat local i perimetral Còpies de seguretat Inversió en eines de protecció Inversió en formació tècnica Evolució continua

Batalla en camp contrari

27-6-2008 Serveis a Usuaris (Àrea de TIC) 74

Final

Gràcies per la companyia