-Verläßlichkeit Ergebnisse der Umfrage

Transkript

1 -Verläßlichkeit Ergebnisse der Umfrage Prof. Dr. Norbert Pohlmann Christian Dietrich Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen

2 Inhalt Anwendung Umfrage Verlässlichkeit IP Reputation Service Einschätzung Viren, Würmer, Trojaner, Zusammenfassung 2

3 Inhalt Anwendung Umfrage Verlässlichkeit IP Reputation Service Einschätzung Viren, Würmer, Trojaner, Zusammenfassung 3

4 -Anwendung Idee ist ein textbasiertes Kommunikationswerkzeug, mit dem weltweit einfach und schnell Informationen ausgetauscht werden können. ist ein Ersatz für: Die Schneckenpost : Postkarten, Briefe und Päckchen Faxe ist eine elastische Anwendung, in der diskrete Medien, die zeitunabhängig sind, wie Text und Grafik, ausgetauscht werden. Vorteile der -Anwendung sind: Einfach jeder kann damit umgehen (Einfache Namen, Handhabung) Schnell innerhalb weniger Sekunden Weltweit jeder kann immer erreicht werden (Mail-Boxen) Kein Medienbruch die Info. können weiterverwendet werden Kostengünstig keine extra Kosten für den Transfer 4

5 Eine globale Herausforderung Echtzeit Business erfordert Sicherheit, Vertrauen und Verfügbarkeit in allen gesellschaftlichen und wirtschaftlichen Bereichen! Das Internet geht über alle geographischen Grenzen, politischen/administrativen Grenzen und Kulturen hinaus und stellt somit eine neue und ungewohnte Herausforderung für die internationale Gesellschaft dar. Die Geschwindigkeit, in der neue Anforderungen auftauchen wird immer rasanter und damit steigt das Sicherheitsrisiko. 5

6 Anwendung Realität (1/2) macht 12% der Bandbreite im Backbone international agierender IP- Carrier aus. Pro Monat mehr als Mrd. s weltweit (sehr grobe Schätzung). Obwohl die nicht als verlässlicher Dienst entworfen wurde, dient die -Anwendung heute der unkomplizierten und schnellen Kommunikation zwischen Geschäftspartnern und Privatleuten weltweit. Gerade aufgrund der geschäftlichen Nutzung wird dem Dienst ein sehr hohes Maß an Zuverlässigkeit abverlangt. im beruflichen Alltag Zu viele s an einem Tag (mehr als 50 Stück) Zu schnelle Reaktion (schlechte Qualität) Disziplin beim Versenden (wichtig/unwichtig; AN/CC) Wir brauchen eine passende -Kultur! 6

7 Anwendung Realität (2/2) ist für die Informationsgesellschaft ein nicht mehr wegzudenkender Service. SPAM, Viren und andere Schwachstellen sind ein ernsthaftes Problem mit hohem Schaden. Die -Anwendung stellt ein sehr hohes Sicherheitsrisiko dar! Dieser Trend lässt die Frage zu, ob in der nahen Zukunft noch genauso einfach und effizient eingesetzt werden kann wie bisher. Die positive Nutzung von s und damit die Informationsgesellschaft sind bedroht! 7

8 Inhalt Anwendung Umfrage Verlässlichkeit IP Reputation Service Einschätzung Viren, Würmer, Trojaner, Zusammenfassung 8

9 Ziele der Umfrage Verlässlichkeit Feststellung: Der Art der Informationen, die per ausgetauscht werden Der Anteilsverteilung des -Volumens (Spam, Viren und Co.) Des aktuellen Bedrohungszustandes Der eingesetzten Gegenmaßnahmen Welche Daten sich über die Zeit verändern 9

10 Allgemeine Statistik Generalisierte Sichtweise (1. Lauf) Rechtsform AG 13 Teilnehmer: 119 Behörde 34 GmbH 28 Hochschule 9 Verteiler Spam-Filter -Accounts: Pro AG ca. 80 T -Adressen Pro GmbH ca. 3 T -Adressen Pro ISP ca. 5,5 Mio. -Adressen Viren-Scanner s/Monat: Mail-Gateway SMTP TCP/IP ISP 7 Andere 28 Gesamt 119 Annahme Mrd. s pro Monat weltweit 1/400 aller s weltweit s über ISPs machen 91 % aller s dieser Umfrage aus 10

11 Allgemeine Statistik Generalisierte Sichtweise (2. Lauf) Teilnehmer: 51 (-X) -Accounts: Verteiler Spam-Filter Viren-Scanner s/Monat: Mail-Gateway SMTP TCP/IP 11

12 Allgemeine Statistik Generalisierte Sichtweise (3. Lauf) Rechtsform AG 5 Teilnehmer: 23 (gute) Behörde 4 GmbH 4 Andere 10 -Accounts: Verteiler Spam-Filter Viren-Scanner s/Monat: Mail-Gateway SMTP TCP/IP Gesamt 23 12

13 Generalisierte Sichtweise Übersicht über Maßnahmen Keine -Accounts Keine -Accounts IP-Blacklist erwünschte Mails Spam Mails Verteiler Viren-Scanner Spam-Filter Virenverseuchte Mails Mail-Gateway SMTP TCP/IP Frequenzanalysen 13

14 Generalisierte Sichtweise Vergleich Ergebnisse: System, Eingang Keine -Accounts 10,24 % 5,0 %* 6,1 %** Keine -Accounts 5,5 % 11,7 %* 2,5 %** IP-Blacklist 3,03 % 13,4 %* 34,2 %** erwünschte Mails 22,32% 28,2%* 18,8%** Spam Mails 56,26 % 36,5 %* 37,5 %** Verteiler Spam-Filter Viren-Scanner Virenverseuchte Mails 2,65 % 2,5 %* 0,8 %** 91,47 % 74,9 %* 63,3 %** Mail-Gateway *restliche 2,7 % nicht zuordbar SMTP TCP/IP Vergleich Ende % Sommer 2005 Ende 2006 **restliche 0,4 % nicht zuordbar 14

15 Generalisierte Sichtweise Vergleich Ergebnisse: System, angenommene Keine -Accounts 11,2 % 6,7 %* 9,7 %** Keine -Accounts IP-Blacklist erwünschte Mails 24,4 % 37,6 %* 29,7 %** Spam Mails 61,5 % 48,8 %* 59,2 %** Verteiler Spam-Filter Viren-Scanner Virenverseuchte Mails 2,9 % 3,3 %* 1,2 %** *restliche 3,6 % nicht zuordbar 100 % Mail-Gateway SMTP TCP/IP **restliche 0,2 % nicht zuordbar Vergleich Ende 2004 Sommer 2005 Ende

16 Generalisierte Sichtweise Vergleich Ergebnisse: Nutzerperspektive Keine -Accounts Keine -Accounts IP-Blacklist erwünschte Mails 27,5 % 40,3 %* 33,0 %** Spam Mails 69,3 % 52,3 % 65,6 %** Verteiler Spam-Filter Viren-Scanner Virenverseuchte Mails 3,3 % 3,5 %* 1,3 %** *restliche 3,9 % nicht zuordbar Mail-Gateway SMTP TCP/IP **restliche 0,1 % nicht zuordbar Vergleich Ende 2004 Sommer 2005 Ende

17 Verlässlichkeit Ideen/Empfehlungen: System, Eingang Keine -Accounts 0,3 % Keine -Accounts 3 % IP-Blacklist 67 % erwünschte Mails 22,1 % Spam Mails 7 % Verteiler Spam-Filter Viren-Scanner 30 % Virenverseuchte Mails 0,6 % Mail-Gateway SMTP TCP/IP 100 % Welche Mechanismen helfen? IP Reputation Service Vor der Annahme prüfen, ob ein -Account vorhanden ist 17

18 Verlässlichkeit Ideen/Empfehlungen: System, ange. Keine -Accounts 1 % Keine -Accounts IP-Blacklist erwünschte Mails 74 % Spam Mails 23 % Verteiler Spam-Filter Viren-Scanner Virenverseuchte Mails 2 % 100 % Mail-Gateway SMTP TCP/IP 18

19 Verlässlichkeit Ideen/Empfehl.: Nutzerperspektive Keine -Accounts Keine -Accounts IP-Blacklist erwünschte Mails 74,7 % Spam Mails 23,3 % Verteiler Spam-Filter Viren-Scanner Virenverseuchte Mails 2 % Mail-Gateway SMTP TCP/IP 19

20 Verlässlichkeit Verschlüsselte s (Lauf 1) Rechtsform AG 2,1 Behörde 1,1 GmbH 5,3 Viren-Scanner Spam-Filter Verteiler SMTP TCP/IP Mail-Gateway Verfahren: PGP/OpenPGP/GPG: 36,7% S/MIME: 22,8% Passphrase-gestützt: 3,8% Hochschule 0,3 ISP 0,5 andere 7,7 Gesamtergebnis 4,3 20

21 Verlässlichkeit Verschlüsselte s (Lauf 3) Verteiler Spam-Filter Viren-Scanner Mail-Gateway SMTP TCP/IP Anteil verschlüsselter s: 2,16% IT-Berater: 60 %, Redaktionsbüro 50 % => 9,2% Verfahren: PGP/OpenPGP/GPG: 39,1% S/MIME: 26,1% Passphrase-gestützt: 4,3% 21

22 Verlässlichkeit Signierte s (Lauf 1) Branche Bildungsinstitution 0,0 Finanzdienstleistungen 21,2 Informationstechnologie 7,9 Verteiler Spam-Filter Viren-Scanner Widerspruch Mail-Gateway SMTP TCP/IP Über 45% der Befragten betreiben kritische Geschäftsprozesse auf -Basis! Öffentlicher Dienst 0,8 Industrie 0,3 Dienstleistungen 0,5 ISP 1,5 Gesamtergebnis 5,9 22

23 Verlässlichkeit Signierte s (Lauf 3) Verteiler Spam-Filter Viren-Scanner Mail-Gateway Anteil signierter s: 4,0% SMTP TCP/IP IT-Berater: 60 %, Redaktionsbüro 50 % => 10,8% Widerspruch Über 66% der Befragten betreiben kritische Geschäftsprozesse auf -Basis! 23

24 Einsatz von Antispam-Lösungen (Lauf 3) Einsatz von Antispam-Lösungen 17% 30% 0% 44% Immer noch 9% ohne Spam-Schutz! 9% keine Angabe keine Antispam-Lösung ausschließlich ein Produkt/eine Dienstleistung ausschließlich Eigenentwicklung Produkt/Dienstleistung + Eigenentwicklung 24

25 Antispam-Mechanismen (Verbreitung) (Lauf 3) Antispam-Mechanismen Hash-Verfahren 34,8% Body-Checks (Strings) 65,2% Header-Checks 56,5% Greylisting 26,1% Whitelisting nach Abschluss des SMTP-Dialogs 21,7% Whitelisting während des SMTP-Dialogs 30,4% Blacklisting nach Abschluss des SMTP-Dialog 21,7% Blacklisting während des SMTP-Dialogs 30,4% Ablehnen von nicht zustellbaren s im SMTP-Dialog 43,5% Nicht-Annahme von Mails von Dialup-Ips 43,5% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% 25

26 Antispam-Mechanismen (Vergleich: 1. und 2. Lauf) Antispam-Mechanismen Hash-Verfahren 27,3% 34,8% Body-Checks (Strings) 59,7% 65,2% Header-Checks 48,1% 56,5% Greylisting Whitelisting nach Abschluss des SMTP-Dialogs Whitelisting während des SMTP- Dialogs Blacklisting nach Abschluss des SMTP-Dialog Blacklisting während des SMTP- Dialogs Ablehnen von nicht zustellbaren E- Mails im SMTP-Dialog Nicht-Annahme von Mails von Dialup- Ips 10,4% 22,1% 21,7% 21,7% 28,6% 30,4% 28,6% 30,4% 47,1% 43,5% Zunahme: Hash-Verfahren, Greylisting, Header, Ablehnen von nichtzustellbaren s im SMTP-Dialog Abnahme: Nicht-Annahme von Dialup-IPs (!), Black- und Whitelisting nach Abschluss des SMTP-Dialogs (hoher Aufwand!) 26,1% 28,6% 33,8% 43,5% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%

27 Anti-Virus-Verfahren (Lauf 3) Anti-Virus-Verfahren Viren-behaftete Mails werden in Quarantäne gestellt 1 Viren-behaftete Mails werden in Quarantäne gestellt und dann gelöscht Viren-behaftete Mails werden gelöscht kein Anti-Virus-Verfahren keine Angabe 1 Viren-behaftete Mails werden mehrheitlich gelöscht Anzahl Teilnehmer

28 Kritische Geschäftsprozesse per Kritische Geschäftsprozesse per 17% 1. Lauf: 45 %, jetzt 66 % 66% 17% keine Angabe ja nein 28

29 Key Findings (1/2) Lauf 1 (Ende 04) 2 (Sommer 05) 3 (Ende 06) Erwünschte Mails 22,32 28,2 18,8 Viren 2,65 2,5 0,8 Spam (Rest) 75,03 69,3 80,4 Verschlüsselte Mails 4,3 2,2 (9,2) Signierte Mails 5,9 4 (10,8) Kein Spam-Schutz 8,9 9 kritische Geschäftsp

30 Key Findings (2/2) Deutlich mehr abgewiesene Verbindungen bereits auf IP-Ebene (vermutlich alles durch IP-Blacklisting), teilweise bis zu 90%(!), im Durchschnitt 34,2% (vgl. Folie Generalisierte Sichtweise Vergleich ) Weniger s werden im SMTP-Dialog aufgrund von Nichtzustellbarkeit abgewiesen vermutlich wegen mehr Erfolg durch IP-Blacklisting (weniger Directory Harvest Attacks) Anteil an angenommenen, nicht zustellbaren s seit 2.Umfrage in etwa gleich (6,1% vs. 5,0%) möglicher Grund: "bestehende -Infrastrukturen werden nicht mehr angefasst" Anteil an angenommenen Spam-Mails in etwa gleich zur 2.Umfrage (37,5% vs. 36,5%), aber: weniger erwünschte Mails, d.h. aus Sicht des Users: mehr Spam! Deutlich weniger Viren-Mails (0,8%) (lässt sich durch externe Quellen bestätigen, z.b: MessageLabs: Jahresdurchschnitt für 2006: 1,38%) 30

31 Verlässlichkeit Einschätzung der Bedrohungslage Spam wird im Vergleich zu Viren als die größere Gefahr wahrgenommen (neu!). 31

32 Inhalt Anwendung Umfrage Verlässlichkeit IP Reputation Service Einschätzung Viren, Würmer, Trojaner, Zusammenfassung 32

33 IP Reputation Service Reputation bezeichnet die gesellschaftliche Wertschätzung einem Menschen oder einer Gruppe gegenüber (Quelle: wikipedia) Dienst zur Abfrage einer dienstorientierten Qualität Beispiel: Service deutlich erhöhter inbound SMTP-Traffic von der IP-Adr festgestellt Mit dem Wissen, dass es sich bei der um einen der Mailouts eines -Provider handelt folgt Vermutlich legitimer Traffic NSP/ESP: Alles o.k. Bisher in der Regel manuell (NOC), aber automatisierbar! 33

34 Dialup-IPs sind Spam-Quelle Nr. 1 Bot-Viren und Spam 97% des Spam-Aufkommens wird durch sogenannte Bot-Viren verursacht, die PCs befallen. Bot-Viren versenden massenhaft Spam-Mails direkt an die eingehenden Mail-Server der jeweiligen -Provider Smarthosts werden umgangen PCs erhalten bei jeder Einwahl eine dynamische Dialup-IP aus dem IP- Nummernblock des jeweiligen ISPs zugewiesen Feststellung Dialup-IPs versenden niemals erwünschte s an eingehende Mail-Server Sie zu blocken hat keinen großen Nachteil! 34

35 Dialup-IPs sind Spam-Quelle Nr. 1 Spam-Versand direkt an MX üblicher Austausch von s eingehender Mail-Server (MX) ausgehender Mail-Server eingehender Mail-Server (MX) ausgehender Mail-Server ISP 1 eingehende s Kompromittierter Rechner SMTP Server (Smarthost) ausgehende s Kunden-PC mit Dialup-IP Spam-Versand direkt an MX SMTP Server (Smarthost) Kunden-PC mit Dialup-IP ISP 2 35

36 Spam-Unterdrückung auf IP-Basis Die IP-Karte Bisher unauffällige IPs Bekannte Dialup-IPs Auffällig gewordene IPs (z.b. gehackte Server, Open Relays)? Gesamter IP-Adressraum IPs aller bekannten Mailserver (MTAs) 36

37 Aktuelles Vorgehen bei ISPs Black- & Whitelist Die dargestellte IP-Karte ist Basis für die manuelle Erstellung einer Blacklist bzw. Whitelist. Blacklist: Whitelist: - Dialup-IPs (Blöcke) - Auffällige statische IPs SMTP-Reject - IPs aller bekannten MTAs - Unauffällige IPs Sofortige Zustellung 37

38 Aktuelles Vorgehen Systematik einer IP-Karte Die hinterlegten bekannten -Server sowie die Dialup-IP-Blöcke beruhen auf Beobachtung der ISP-Landschaft. IP-Verbindungen von unbekannten bzw. bisher unauffälligen IPs werden zugelassen, d.h. die Mails werden angenommen. Eine Eintragung in die Blacklist ist abhängig vom Vorliegen konkreten Spam- Verdachts (Beschwerden, Zahl der Mails, Anteil gültiger Adressen, etc.) 38

39 Aktuelles Vorgehen Potenzial einer IP-Karte Die Rate der erkannten Spam-Mails muss noch weiter gesteigert werden. Hierzu müssen Spam-IPs vor allem schneller identifiziert werden als heute. Eine IP-Karte muss national bzw. global etabliert werden, um Spam generell und nachhaltig einzudämmen. Notwendiges Vorgehen: Austausch von IP-Karten und Selbstauskünften zwischen interessierten ISPs weltweit. 39

40 Vorschlag für globale Lösung Selbstauskunft und Spam-Karte Die ISPs tauschen regelmäßig Selbstauskünfte und Beobachtungsdaten ( IP-Karten ) aus. Es handelt sich dabei um attributierte IP-Listen. Diese enthalten auch die AS-Nummern, um die Überprüfbarkeit der Angaben sicherzustellen. Selbstauskunft - IPs aller Mailserver (MTAs) - Dialup-IPs (Blöcke) evtl. zusätzlich: - statisch vergebene IPs Spam-Karte - Auffällige IPs - IPs schlecht administrierter Mailserver (MTAs) 40

41 Vorschlag für globale Lösung Interpretation der IP-Karten (1/2) A B C Bestätigung Neuerkenntnis Ein Abgleich der Reputation bestätigt oder relativiert eigene Beobachtungen und zeigt neue potentielle Spam-Quellen auf. 41

42 Vorschlag für globale Lösung Interpretation der IP-Karten (2/2) Aus der Vielzahl der eingehenden Selbstauskünfte und Beobachtungsdaten ( IP-Karten ) werden Informationen aggregiert. Je größer die Beteiligung, desto höherer Nutzen für alle Beteiligte. Ziel: Vollständige IP-Karte über den gesamten IP-Adressraum. > 95% 42

43 Vorschlag für globale Lösung Vorteile einer IP-Karte Im Sinne einer Semi-Closed-User-Group steht die IP-Karte prinzipiell allen ISPs offen. Bereits mit wenigen aktiven Teilnehmern der IP-Karte ist eine hohe Marktabdeckung und damit eine schnelle und wirksame Spam- Identifikation zu erreichen. Die Selbstauskünfte der aktiven ISPs verringern das Risiko von false positive Fällen. Jeder Teilnehmer ist frei in der Verwendung der aus dem Austausch gewonnen Informationen. Dezentrale Struktur verhindert Mißbrauch durch einzelne Teilnehmer und erhöht die Verfügbarkeit. 43

44 Inhalt Anwendung Umfrage Verlässlichkeit IP Reputation Service Einschätzung Viren, Würmer, Trojaner, Zusammenfassung 44

45 Viren, Würmer, Trojaner, Einschätzung Viren haben sich zu einem etablierten Problem entwickelt. Weitere Herausforderungen Konsequente Umsetzung von zentralen und dezentralen Anti-Viren Sicherheitsmechanismen Geschwindigkeit neuer Signaturen (Verwundbarkeitsfenster) In den letzten Jahren von 12 auf 10 Stunden reduziert Ziel: 3 Stunden vorausschauenden Erkennungstechnologien Trusted Computing in der Zukunft 45

46 Inhalt Anwendung Umfrage Verlässlichkeit IP-Reputation Service Einschätzung Viren, Würmer, Trojaner, Zusammenfassung 46

47 Verlässlichkeit Zusammenfassung ist eine sehr wichtige Anwendung, auf die wir nicht verzichten können! Alle tun was gehen Spam, Viren und Co. (9 % ohne Antispam-Lösungen) Frequenzanalysen des Kommunikationsverhaltens der -Partner und weitere Validierungen helfen, Hinweise auf missbrauchende Hosts zu bekommen IP-Reputation Services können helfen das Spam-Problem deutlich zu reduzieren Weitere Informationen unter: 47

48 -Verläßlichkeit Ergebnisse der Umfrage Vielen Dank für Ihre Aufmerksamkeit Fragen? Prof. Dr. Norbert Pohlmann Christian Dietrich Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen