Antivírus blog

vírusok, férgek, botnetek, kártevők

ITBN 2008 közelről

2008. szeptember 26. 08:28 - Csizmazia Darab István [Rambo]

Egyszer egy évben előkerülnek az érettségi öltönyök, és komoly tömegek verődnek össze a MOM park mozitermeiben. Az idén azonban szemlátomást már szűknek bizonyult a helyszín.

Az Informatikai Biztonság Napján szerencsére a sok reklámszagú bemutató mellett volt pár élvezhetőbb előadás is, ezekből mazsoláztunk egy csokorra valót.

Már pusztán a statisztikák miatt is megérte eljönni, Sugár Mihály (BellResearch) az IT biztonság helyzetét mutatta be egy friss felmérés alapján, benne külön kiemelve a Top200 vállalatot és a KKV szektort.

Valamilyen vírusirtója szemlátomást majdnem mindenkinek van, de tűzfal megoldás használata szemlátomást csak a Top200 csoportban példaértékű.

Gombás László (Symantec) az adatvesztéssel kapcsolatos előadásában igyekezett minden részletre kiterjedően ismertetni a problémát és megoldásokat is javasolt ezekre.

A sok mellbevágó adatközül az egyik. A Rambo filmekből idézve, mikor az első részben elindul a hajtóvadászat és mozgósítják a hadsereget, a nemzeti gárdát; a sok katonát látva Trautmann ezredes megjegyzi, "sok emberből sok halott is lesz". Gyaníthatóan az újonnan becsatlakozott számítógépek nagy része odafigyelés, és szakértelem, illetve naprakész védelmi programok híján itt is fertőzött lesz.

Michael Rudrich már egy "nem létező" szervezettől érkezett ;-), hiszen a Secure Computingot alig két nappal ezelőtt vásárolta fel a McAfee.

Elődadásában a Web 2.0-val kapcsolatos veszélyekről beszélt, és nekem az tetszett a legjobban, hogy bár elnézést kért osztrák számazása miatti esetlegesen gyenge angolja miatt, ez teljesen felesleges gesztus volt: tökéletes angolsággal, hibátlan és remekül érthető kiejtéssel élvezhettük az előadást.

Hamed Khan Angliából érkezett, és bár az utóbbi időben számos SQL injection témájú bemutatót láthattunk (Buherátor kollégától is :-), azért ez is élvezetes volt.

Egy webshop piszkálása közben mindkét fél helyzetébe beleképzelhettünk magunkat. Igen szemléletes volt, hogy az SQL hibaüzenetek megzabolázásával ugyan látszólag csökkent a kitacepaózott adatbázis információk mennyisége, de ez mit sem változtatott a blind módszerrel elérhető további támadási eredményeken.

Barna Tamás (McAfee) a bizalmas adatok védelméről tartotta prezentációját, amelynél a programok csúszása miatt mint a sportversenyeken, rendszeresen beintették neki a még hátralévő percek számát.

Ha az egész nap témáján végighúzodó vékony vörös fonalát kellene megkeresni, az sok fáradságot nem igényelne: a DLP, azaz a védendő adatok szivárgása elleni küzdelem lenne az. Vissza utalva Keleti Arthúr (KFKI) előadására, borzongva láthattuk, hogy a magyar cégek jelentős részében - és ez alól meglepetésre a Top200 sincs jobb pozícióban - az IT Security feladatokat egy olyan egyéb IT munkatárs látja el, akinek nem is ez a fő feladata, hanem egyéb munkája mellett látja ezt el. Ezen a mutatón muszáj lesz változtatni, ha érdemi javulást szeretnénk látni, különben tálcán kínáljuk fel az adatainkat, adatbázisainkat a támadóknak.

Hrvoje Dogan (IronPort) a spam háború eddigi mérföldkövei mellett a küzdelem jelenlegi módszereit ismertette, öröm volt látni a spam evolóció szemléletes példákkal összefoglalt történelmét.

Az egyik slide egy spamben reklámozott termék terjesztését intéző oldal feltörése utáni állapotba engedett bekukucskálást: nem lódít a statisztika, semmi kétség, tényleg vannak olyan embernek látszó tárgyak, akik ezektől még vásárolnak is :-(

Egy különleges ajánlat ismertetése a MessageLabstól. Böröcz Gergely (Filter:max) az egyik leghatékonyabb spamszűrési módot ismertette. A világ legnagyobb levelezési mintájával a szűrők betanítása elképesztően hatékony. Nekem az volt muris a végén, hogy egyetlenegy kérdésre maradt csak idő a végén, amely az árról érdeklődött, azonban a válasz egy diplomatát megszégyenítő szófordulatok után sem említett egyetlen konkrét számot sem.

A fejkiszellőztetés közben aztán sikerült két régi ismerőst is "összeereszteni". Krasznay Csaba (Kancellár.hu) és Kristóf Csaba (Biztonság Portál) bár személyesen még nem találkoztak, hamar megtalálták a közös nevezőt.

Az előadás angol, a név magyar: Daniel Hetényi a Websense szineiben érkezett, és élvezetes előadást tartott a biztonsági problémákról. Természetesen az adatszivárgás területe innen sem maradhatott ki.

A három teremben párhuzamosan zajó események egyik utolsó előadása Szappanos Gáboré (VirusBuster) volt, amelyben ezúton is elnézést kért minden Béla nevű embertől a cím miatt ;-) Tulajdonképpen egy átlagember netezési szokásain keresztül demonstrálta, hogy milyen mennyiségű kártevő próbálkozik be egy számítógépen anélkül, hogy a felhasználó extrém szokásokkal veszélyeztetné magát. Aki nem látogat pornográf oldalakat, nem chatel, nem tölt le p2p hálózatokról, az is simán belefuthat szinte bármibe.

7 komment

A bejegyzés trackback címe:

http://antivirus.blog.hu/api/trackback/id/tr38682042

Trackbackek, pingbackek:

Trackback: Propeller 2008.09.26. 08:41:08

Antivírus blog - ITBN 2008Egyszer egy évben előkerülnek az érettségi öltönyök, és komoly tömegek verődnek össze a MOM park mozitermeiben. Az idén [...]

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Leni 2008.09.26. 10:19:35

biztosnág kell!

Mindenek felett!

virkid 2008.09.26. 15:44:14

Én is ott voltam az ITBN-en.
Sok jó előadás volt, bár a NOD32-től senki nem adott elő :-))))
Persze a McAfee képviseltette magát. :-)
Kérdésem hozzád, TE elhiszed azokat a számokat, amik elhangzottak Szappanos Gábor előadásán? Szerintem egy kicsit nagyobb számokat adott meg. Véleményed?
Én nem tapasztaltam ekkora kockázatott még, bár az 5-6 perces első támadást már teszteltem, és valós.
És mintha azt is elfelejtette volna közölni, hogy mióta van e-mail címe, és hova szokta megadni. + milyen e-mail címe van...
Kicsit sok volt a program, így már nem emlékszem, ki fejtette ki, hogy bizonyos e-mail címeket gyakrabban bombáznak.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.26. 19:33:09

Helló Virkid!
Na milyen kár, hogy nem futottunk össze!
Ezen én is elgondolkodtam, ha jól gondolom, ez egy már meglévő cim volt. A számok ezért lehettek ekkorák, és biztos nem írt még hozzá egy nullát csak azért, hogy rémisztőbb legyen :-) Egy vadonatúj user vadonaúj email címével nyilván nem ilyen mértékben történik mindez.

Volt régebben tRF-nek (Spányik Balázs, PC World) egy topikja a fórumban, ahol a másik véglet jött elő: nem telepített rezidens cuccokat, de hetente leellenőrizte a netezős gépét, és állítása szerint hónapokig nem talált semmilyen kártevőt. Nekem ez is kissé hihetetennek tűnt :-O

Az igazság szerintem valahol a kettő között lehet, érdemes feltenni az alapszoftvereket, és aztán még így is benyalhatunk olyan rootkitet, amit csak tegnap fejlesztettek ki.

Az én tapasztalataim közelebb vannak - ha nem is ilyen eltúlzott mértékben - Szapiéhoz: telepítettem már úgy Wint, hogy véletlenül a végére hagytam az AV-t, és ez a kb negyedóra-félóra netkapcsolat is elég volt ahhoz, hogy egy Blaster bepofátlankodjon, és bootolgassa a gépet.

virkid 2008.09.27. 00:41:25

Helló!!!

Az első támadás időpontjával nem is volt probléma, sőt valamelyik angol szaklapom olvastam ennél rosszabbatt is. Nekem a többi számmal volt probléma, bár lehet hogy én nézem szebbnek a világot a a valóságnál. Ahogy rémlik a megadott adatok csak 20-30%-al voltak többek, persze csak úgy, hogy a lélektani határ föllött legyenek, csak egy kicsivel. Lehet, hogy tévedek, de 110 körüli heti spam-et adott meg. Nekem ennyit még nem sikerült, bár van olyan e-mail cimem ami lassan 10 éves, és minden "szürke" helyen azt adom meg. Elvileg fel fogják rakni az előadások anyagát a hivatalos lapra rakni, akkor ha gondolod folytathatjuk... Az egyes adatok elemzését.

Szerencsére nekem már "csak" a vírusvédelem marad, így ha valamelyik telepítő elfelejt szólni, akkor csak a lenovo büvös f11-ét tanácsolom. :-) Szerencsére, a mi hálozatunk zártsága és folyamatos felügyelete miatt kb. 4 éve volt utoljára, hogy egy ilyet kértem, bár akkor IBM-es F11 volt. És akkor amúgy is kergettem a szépemlékű oror vírust osztó gépet.

Vidi Rita · http://www.hosnok.hu 2008.09.27. 08:47:35

Azt szeretném kérdezni, Tőletek, tapasztaltaktól, hogy miért pont ősz a információbiztonság időszaka itthon?
Hacktivity, ITBN szinte egymás sarkában. Utána meg semmi?

Jól tudom, hogy külföldön rendszeresen vannak ilyenek?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.27. 11:03:15

@Virkid:
Jah, igen, itt azért nem alacsony számok szerepeltek valóban. Példaként mondhatom a saját (minden címre egybe nézve) esetem, kb. 30-60 a napi, a kedvesem gépén viszont 80-110. Ezek kb 3-4 emailcímet jelentenek, ezek közül neki is, és nekem is kint van egy állandóra weboldalon, vagyis begyűjthették.

Én ezeken már annyira nem bosszankodom, nagyobb a bajom, ha külföldre levelezek, mert azok jobban elkeverednek a spamek között, és nagyítóval kell elővarázsolni.

Sőt kicist el is szégyelltem magam, hogy ilyen piti spam panaszaim vannak, mert reggel jöttem hazafelé a futásból, és akkor mondta a rádió, hogy Türkmenisztánban MOST, 2008-ban hoztak rendeletet arról, hogy tilos a kínzás a börtönben, és többé nem engedélyezett az embereken való orvosi kísérlet.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2008.09.27. 11:08:13

@Rita:
A nyár az uborkaszezon mindenütt, bár amint hallom, hogy a multiknál lassan más szabadságra sem engedik az embereket, így akár július-augusztusban is lehetne bármilyen konferencia. Az ősz az igazi szezon, viszont azt gondolom neked sem kell mondani, hogy kis ország kis konferencia, nagy ország nagy és sok konferencia :-D Pénz kérdés, ez van.

Valamilyen jó kis hacker konfra elmennék egyszer - látni, mit tudnak a fiatalok -, és még életemben nem voltam egy CEBIT-en se, egyszer egy olyat is megnéznék :-)