Современные методы защиты электронной почты от вирусов и спама Скида М.А.

Современные методы защиты
электронной почты
от вирусов и спама
Скида М.А.
Руководитель отдела
ЗАО «ДиалогНаука»
ЗАО «ДиалогНаука»
Создано в январе 1992 г. на базе Научного центра СП
«Диалог» при Вычислительном центре РАН.
Научный центр был образован в декабре 1989 г.
Учредители:
- СП «Диалог» и
- Вычислительный центр РАН.
Антивирусные программы:
1990 - сканер Aidstest Лозинского Д.Н.
1991 - ревизор дисков ADinf Мостового Д.Ю.
1994 - семейство программ Doctor Web Данилова И.А.
2004 - программы от американской компаний Sybari
Компьютерные вирусы
Фред Коэн, аспирант университета в Южной Каролине,
создал в ноябре 1983 первый вирус: “a program that can ‘infect’ other
programs by modifying them to include a version of itself”.
Известно более 90 тыс. вирусов. Каждый день -- 30-60 новых. В
большинстве это модификации старых идей. Новые идеи
появляются редко – полиморфные вирусы (1993), макровирусы (1995), бестелесные вирусы (2001).
Технические задачи противодействия вирусам и спаму –
создание более совершенных средств защиты.
Поколения компьютерных вирусов
(обзор ICSA Labs 2002)
Поколения
Типы вирусов
Годы
Первое
Второе
Третье
Четвертое
Бутовые
Макро
Массовые почтовые рассылки
Использование одновременно нескольких
технологий для распространения. Быстрое
распространение и большая сила поражения
Смешанные угрозы. Широкополосный
доступ к Интернету. Беспроводная связь.
Наладонные ПК и мобильные телефоны
1985-1994
1995-1999
1999-2001
2001 - ?
Пятое
?
Общемировой ущерб от вирусов в
млрд. долл. США (отчет Computer
Economics Inc.; июнь 2004)
2004
2003
2002
16.7 (прогноз)
13.0
11.1
2001
2000
1999
13.2
17.1
12.1
1998
6.1
1997
1996
1995
3.3
1.8
0.5
Прогноз компании mi2g Ltd
по ущербам от вирусов и спама
за весь 2004 год
От вирусов – 200 млрд. долл.
От спама – 200 млрд. долл.
Суммарно – 400 млрд. долл.
Всего компьютеров в мире с ОС Windows – 600 млн.
В среднем на 1 компьютер приходится ущерб – 667 долл.
Количество обнаруженных вирусов
в месяц в среднем на 1000
компьютеров (ICSA Labs)
Год
1996
1997
1998
1999
2000
2001
2002
2003
Количество вирусов
10
21
32
80
91
103
105
108
Каналы проникновения
вирусов в компьютеры
(ICSA Labs 2003 survey)
Источники вирусов 1996 1997 1998 1999 2000 2001 2002 2003
Вложения в электронные письма 9% 26% 32% 56% 87% 83% 86% 88%
Файлы, загружаемые из Интернета 10% 16% 9% 11% 1% 13% 11% 16%
Просмотр веб-сайтов 0% 5% 2% 3% 0% 7% 4% 4%
"Не знаю" 15% 7% 5% 9% 2% 1% 1% 3%
Другие пути 0% 5% 1% 1% 1% 2% 3% 11%
Дистрибутив ПО 0% 3% 3% 0% 1% 2% 0% 0%
Дискеты 71% 84% 64% 27% 7% 1% 0% 0%
Электронная почта – основной
канал распространения вирусов
Антивирусные проверки почтовых сообщений иногда
отсутствуют даже на популярных почтовых серверах.
Такие почтовые серверы становятся соучастниками
распространения вирусов через Интернет.
Чтобы добиться успеха в борьбе с вирусами, нужна
антивирусная фильтрация всех почтовых сообщений.
Принципы защиты электронной
почты
Проверка входящего трафика на SMTP-шлюзе или входном
почтовом сервере.
Проверка трафика на внутренних почтовых серверах.
Проверка почтовых ящиков пользователей, хранящихся на
сервере.
Проверка почтового трафика на рабочих станциях.
Антивирусная защита
Использование нескольких антивирусных технологий от
разных разработчиков.
Регулярное обновление антивирусных баз – на серверах не
реже 1 раза в час, на рабочих станциях не реже 1 раза в день.
Грамотное администрирование системы.
«Патчи» для используемого ПО надо
ставить как можно быстрее
Вирус
(червь)
Дата оповещения
про уязвимость
До появления
вируса, дней
Дата появления
вируса
Melissa
1 декабря 1999 г.
65
27 марта 1999 г.
Sadmind
29 декабря 1999 г.
496
8 мая 2001 г.
Sonic
18 июля 2000 г.
104
30 октября 2000г.
Bugbear
29 марта 2001 г.
550
30 сентября 2000 г.
CodeRed 18 июня 2001 г.
31
19 июля 2001 г.
Nimda
15 августа 2001г.
34
18 сентября 2001 г.
Spida
17 апреля 2002 г.
34
21 мая 2002 г.
Slammer
24 июля 2002 г.
185
25 января 2003 г.
Slapper
30 июля 2002 г.
46
14 сентября 2002 г.
Blaster
19 июля 2003 г.
24
12 августа 2003 г.
Witty
18 марта 2004 г.
2
20 марта 2004 г.
Правила антивирусной гигиены
Аккуратная работа с информацией от незнакомых и
непроверенных источников.
Использование и регулярное обновление средств
антивирусной защиты.
Внедрение корпоративной политики информационной
безопасности.
Решения Dr.Web для почтовых
серверов, работающих под
управлением Unix-систем
Демон Dr.Web для Unix-систем Linux, FreeBSD, OpenBSD и Solaris (x86)
может быть использован практически в любых комплексах
обработки данных в качестве подключаемого внешнего
антивирусного фильтра.
Есть готовые антивирусные фильтры для
почтовых серверов Sendmail, QMail, Postfix, Exim, CommuniGatePro, CourierMTA, Zmailer и Mobico MIO.
Используются на почтовых серверах Mail.ru, Яндекс, Зенон,
РосБизнесКонсалтинг, HighWay, Петерлинк и др.
В январе-феврале 2004 г. более 40 млн. экз. вирусов
Dr.Web обезвредил в России на крупнейших почтовых
серверах Mail.ru, Яндекс, Зенон, РосБизнесКонсалтинг,
HighWay, Петерлинк и др.
MyDoom.32768 Klez.4 Gibe.2 Yaha.4 Foo.41984 Foo Klez.1 MyDoom.based Bugbear.2 Dumaru Other 1180 viruses
Win32.HLMM.MyDoom.32768
1200000
800000
600000
Ряд1
400000
200000
Дни
29
ф
26
ф
23
ф
20
ф
17
ф
14
ф
11
ф
8ф
5ф
2ф
30
я
0
27
я
Экземпляры
1000000
Процент MyDoom.32768 в общем объеме
90%
80%
60%
50%
Ряд1
40%
30%
20%
10%
День.Месяц
29
ф
26
ф
23
ф
20
ф
17
ф
14
ф
11
ф
8ф
5ф
2ф
30
я
0%
27
я
Процент
70%
Престижные награды VB100%
с ноября 2001 по август 2004
Компания и продукт
Страна
Количество
наград
Словакия
13
Англия
12
3. Computer Associates Vet
США
11
4. Symantec AntiVirus
США
11
5. DialogueScience Dr.Web
Россия
10
6. Kaspersky AntiVirus
Россия
10
Тайвань
10
США
9
Швеция
9
Венгрия
9
США
8
1. Eset NOD32
2. Sophos Anti-Virus
7. Trend Micro PC-Cillin
8. McAfee (NAI) VirusScan
9. Norman AntiVirus
10. VirusBuster VirusBuster
11. Computer Associates Inoculate
Тестирование антивирусов в Virus
Test Center при Гамбургском
университете, март 2002 г.
Тестирование старых версий антивирусов.
Совершенно новые вирусы обнаруживались:
-- как модификации старых вирусов,
-- как представители уже известных семейств вирусов,
-- с помощью эвристических алгоритмов.
В этих тестах, в которых принимали участие лучшие
антивирусы со всего мира, Doctor Web был отмечен как
показавший наилучшие результаты.
Программы семейства
Doctor Web сертифицированы
Министерством обороны РФ,
Гостехкомиссией, а также ФСБ
Программы прошли испытания в
части соответствия реальных и
декларируемых функциональных
возможностей, отсутствия
недекларированных возможностей
(программных закладок).
Антивирусные продукты Antigen от
компании Sybari
• Antigen для серверов почты Microsoft Exchange
• Antigen для шлюзов Microsoft SMTP Gateways
• Antigen для серверов почты Lotus Domino
• Antigen для серверов Microsoft SharePoint
• Antigen для серверов Instant Messaging
Уникальность продуктов Sybari –
технология многоядерного
антивирусного сканирования
По умолчанию – 4:
1. SOPHOS (Англия)
2. Computer Associates (Vet, Австралия)
3. Norman Data Defense (Швеция)
4. Computer Associates (Inoculate, Израиль)
Дополнительно – еще 1 или 2:
5. Kaspersky Lab (Россия)
6. Virus Buster (Венгрия)
Антиспамовые продукты
от компании Sybari
• Sybari Spam Manager
• Advanced Spam Defense и
• Advanced Spam Manager
обеспечивают также и контекстную фильтрацию
электронной почты.
Антиспамовая защита
Advanced Spam Manager
Постоянно пополняемая база спамовых сигнатур
Технология обнаружения спамерских трюков STAAR Engine™
Технология файловой фильтрации AFF™
Использование черных и белых списков
Интеграция с Realtime Blackhole Lists
Фильтрация содержимого по спискам запрещенных
ключевых слов
Антиспамовая защита
Advanced Spam Defense
Уникальный подход к проблеме обнаружения спама
Технология Recurrent Pattern Recognition™
Использование черных и белых списков
Интеграция с Realtime Blackhole Lists
Фильтрация содержимого по спискам запрещенных
ключевых слов
Клиенты компании Sybari
Airbus Industrie – Франция
BBC Worldwide – Англия
Bosch Siemens – Германия
Compaq Computers – США
Dell Computers – США
Deloitte & Touche - США
Ericsson – Швеция
European Commission – Бельгия
Getronics – США
Mannesmann – Германия
Merrill Lynch – США
Nokia - Финляндия
Nortel Networks – Канада
Pentagon – США
Pirelli - Италия
Skandia – Швеция
Telecom Italia - Италия
Texaco – США
VISA – США
Vodafone – Англия
Antigen защищает 9 млн. рабочих мест у 9 тыс. клиентов.
Спасибо за внимание!
Адрес: 119991, Москва, ул. Вавилова, д. 40, офис 103
Тел.: 101 30 31
Факс: 938 29 69
Интернет: www.antivir.ru
Электронная почта: antivir@antivir.ru