In Sammlung (en) In der gespeicherten
  1. Wissenschaft
  2. Biologie
  3. Virologie

Das OpenAntivirus Projekt Aufbau Warum? Das Problem - free

Werbung 
Das OpenAntivirus Projekt
Aufbau
Motivation
Bestandteile
Status / Technik / Demonstration
Zukunft
http://www.openantivirus.org/
Kurt Huwig <[email protected]>
http://www.iku-netz.de/
http://www.iku-netz.de/
Warum?
Das Problem
und Nimda (Quelle: Computer Economics)
viele können sich das nicht leisten
Virenschutz für Windows Systeme erwünscht
Hoher wirtschaftlicher Schaden durch Viren
http://www.iku-netz.de/
Linux Server werden immer beliebter
hohe Lizenzkosten kommerzieller Virenscanner
XML Virus befällt Mozilla 0.9.8
Linux Viren werden zunehmen
Viren sollten so gut es geht bekämpft werden
http://www.iku-netz.de/
Universitäten, Schulen
kleine Unternehmen
Die Folge
Können wir es schaffen?
z.Zt. existieren > 60.000 Viren
sehr wenige Viren sind wirklich im Umlauf
2001: < 10 unterschiedliche Viren auf einem
Mailserver gefunden
pro Monat etwa 5000 neue Viren
guter Internetanbindung
oftmals schlechter Wartung
wenig Sicherheitsbewusstsein
rasante Ausbreitung von Viren
Es werden Systeme infiziert mit
davon treten etwa 5 „in the wild“ auf
Erkennen dieser Viren ist machbar
http://www.iku-netz.de/
http://www.iku-netz.de/
Freie Lizenz
Kommerzielle Lizenz
GNU Public License (GPL)
Copyright von Dritten muss auf das Projekt
übertragen werden
http://www.iku-netz.de/
http://www.iku-netz.de/
Lizenzen für Closed Source Projekte können
gekauft werden
Einnahmen dienen der Weiterentwicklung
Virenschutz in vielen Produkten
wer nicht offen sein will, muss das Projekt
finanziell unterstützen
Die Bestandteile
Projektstatus
PatternFinder (Java)
etwa 1.800 Viren werden erkannt
seit 6 Monaten auf einem Mailserver aktiv
Virensignaturen bestimmen
Virenscan-Dienst
ScannerDaemon (Java)
VirusHammer (Java)
eigenständiger Virenscanner mit GUI
VirusHammer ist benutzbar
Squid-vscan ist z.Zt. Proof-of-concept
Samba-vscan (C)
Zugriffsscan für Samba
Squid-vscan (C)
Linux-Kernel Modul (C)
läuft auf einigen Servern
Kernel Modul ist benutzbar
Zugriffsscan
http://www.iku-netz.de/
Warum Java?
PatternFinder: das Problem
plattformunabhängig
Virenscanner suchen nach charakteristischen
Bestandteilen von Viren (Signaturen)
einziger Scanner für AS/400 PPC
keine Buffer Overflows
schnell
http://www.iku-netz.de/
noch nicht für Produktiveinsatz geeignet
Samba-vscan ist benutzbar
Zugriffsscan für Squid
http://www.iku-netz.de/
Integration in AMaViS
parallel mit einem kommerziellen Scanner
alle aktuellen Viren werden erkannt
Virenschutz für Mailserver ist praktikabel
http://www.iku-netz.de/
sind nicht frei verfügbar
Erstellung erfordert Analyse des Virus
PatternFinder: die Lösung
PatternFinder: das Ergebnis
Voraussetzung
Gerüst des Virus, das der Virenscanner erkennt
vereinfachte Analyse dieses Gerüstes
evtl. direkte Verwendung im Scanner
~ 1.800 Signaturen sind bekannt
Virus
(kommerzieller) Virenscanner, der ihn erkennt
Virus wird systematisch überschrieben
Virenscanner wird gefragt, ob der Virus noch
vorhanden ist
wenn ja: weiter überschreiben
wenn nein: diese Stelle nicht überschreiben
http://www.iku-netz.de/
http://www.iku-netz.de/
PatternFinder: Beschleunigung
VirusHammer
Starten eines Virenscanners braucht Zeit
mehrere Kopien des Virus werden unabhängig
voneinander gelöscht
alle werden bei einem Start geprüft
http://www.iku-netz.de/
einfache Verwendung
http://www.iku-netz.de/
VirusHammer
Linux Kernel Modul
Anbindung durch Dazuko
(http://www.dazuko.org/)
Englisch, Deutsch, Französisch, Italienisch,
Spanisch
internationalisiert
bereits lokalisiert auf
triviale Anbindung an ScannerDaemon (etwa 1h
Aufwand)
nutzbar für
Integration von PatternFinder
besserer Fortschrittsanzeiger
Angabe von DOS-Laufwerksbuchstaben
Berichten von nicht erkannten Viren
http://www.iku-netz.de/
Proxy
Mailserver
http://www.iku-netz.de/
Squid-vscan
Samba-vscan
verwendet Squid-Filter von Olaf Titz
Projekt von Rainer Link
Realisierung über Samba Virtual Filesystem
http://sites.inka.de/sites/bigred/devel/squid-filter.html
Patch für Samba 2.2.0 - 2.2.3a
Samba 3.0 benötigt keinen Patch
Scannen aller Dateien vor dem Lesen
HTTP-Header sind bereits versendet
Übertragung lässt sich nur abbrechen
Umleitung auf eine Fehlerseite ist nicht möglich
benötigt laufenden ScannerDaemon
Problem: Meldung eines Virus
Zugriff wird bei Infektion verweigert
Unterstützt mehrere Scanner über C-API
Andere Scanner lassen sich einbauen
http://www.iku-netz.de/
Fileserver (z.B. Samba)
bedingt nutzbar für
JavaWebStart: Scannen ohne Installation
geplant
Datei-Zugriffskontrolle per Userspace Anwendung
Kernel Modul benachrichtigt
Userspace Anwendung gibt frei oder verweigert
http://www.iku-netz.de/
OAV ScannerDaemon
Sophos
Trend Micro
Kaspersky
Symantec
ScannerDaemon
ScannerDaemon: Aufbau
Aufteilung in
Duron 800MHz: 4s
als Dienst entfällt das Starten
echo "SCAN /home/kurt" | netcat localhost 8127
Filter
Scanner
Weiterleitung der Daten an die Finder
AmaViS
MIMEDefang
OdeiaVir
Samba/Squid-vscan/Kernel-Modul
Finder
Suche nach Viren
Integration in
http://www.iku-netz.de/
ScannerDaemon: Finder
Scan-Technik: Stringsuche
erhält Puffer mit
viele (binäre) Strings müssen erkannt werden
Präfix
Datenblock
Postfix
auch für polymorphe oder verschlüsselte Viren
Aho/Corasick arbeitet unabhängig von der Zahl
der zu suchenden Strings
Finder kann auf mindestens +/- 4kB zugreifen
http://www.iku-netz.de/
Vorverarbeitung von Dateien
Extrahierung von Programmdaten (ZIP, UPX, ...)
OK
FOUND: <Virusname>
Antwort:
http://www.iku-netz.de/
Filter
Scanner
Finder
Starten des Scanners braucht Zeit
http://www.iku-netz.de/
http://www-sr.informatik.uni-tuebingen.de/~buehler/AC/AC.html
Aho/Corasick Stringsuche
Modifizierter Aho/Corasick
erstellt einen Baum zur Erkennung
besonderes Merkmal: Failure Function
Knoten im Baum verbrauchen viel Speicher
unwahrscheinlich, dass viele Pattern lange
identische Präfixe haben
maximale Tiefe wurde auf 4 begrenzt
danach lineare Suche
bei Nichterkennung wird in einen anderen Teil des
Baumes gesprungen
jedes Zeichen muss nur einmal in O(1) verarbeitet
werden
Beispiel
Suchstrings: baumhaus, auffahrt
Text: bauffahrt
Erkennung: b - a - u - f (passt nicht)
Sprung nach: a - u - f
http://www.iku-netz.de/
http://www.iku-netz.de/
Aho/Corasick mit Tiefe 3
Aho/Corasick mit Tiefe 4
Stand 06.03.2002:
Trefferwahrscheinlichkeit: 200/256 = 78%
855 Knoten mit Tiefe 2
Trefferwahrscheinlichkeit: 855/65.536 = 1,3%
1.016 Knoten mit Tiefe 3
3178 Nodes (+53%)
1 Treffer alle 153 Byte
Duron 800MHz: 12MB/Sekunde (+20%)
2.072 Knoten (inkl. Wurzel)
200 Knoten mit Tiefe 1
Trefferwahrscheinlichkeit: 1.016/16.777.216 = 0,006%
1kB: 6%, 32kB: 86%
Praxis (Windows-EXE): Ein Treffer alle 74 Byte
Duron 800MHz: 10MB/Sekunde
http://www.iku-netz.de/
http://www.iku-netz.de/
Aho/Corasick: Fazit
Zukunft
Viren von den Erschaffern
E-Mail
Proxy
ausreichend schnell für Internetverbindungen
Programmcode ist noch nicht optimiert
optimierte Simulation ergab > 100MB/Sekunde
Scanner
http://www.iku-netz.de/
Heuristiken
MS-Office Dateien
signiertes Dateiformat
Scannen von mehr Archiven (tar.gz, RAR...)
http://www.iku-netz.de/
Zukunft
Zukunft
Beta Tester
Wohin mit Viren?
Squid v2.[456]
Integration weiterer Virenscanner
Squid-vscan
VirusHammer
mehr Sprachen
bessere Fortschrittsanzeige
Laufwerksbuchstaben auswählbar
Samba-vscan
http://www.iku-netz.de/
eigenes Virenanalyseteam
Sourcer
Virenreportpolitik
Scan beim Schreiben
Quarantäne
Auto-clean
http://www.iku-netz.de/
Mail an <[email protected]>
Fragen?
Demonstration
ScannerDaemon
Scannen per
„echo SCAN <filename>
| netcat localhost 8127“
Squid-vscan
Zugriffsverweigerung auf Viren im WWW
Kernel Modul
Zugriffsverweigerung bei „normalen“ Zugriffen
Samba-vscan
http://www.iku-netz.de/
http://www.openantivirus.org/
http://www.iku-netz.de/
Kurt Huwig <[email protected]>
Start per Browser
Scannen von Verzeichnissen
VirusHammer
Zugriffsverweigerung beim Clientzugriff
http://www.iku-netz.de/
Das OpenAntivirus Projekt
http://www.openantivirus.org/
Kurt Huwig <[email protected]>
http://www.iku-netz.de/
Aufbau
Motivation
Bestandteile
Status / Technik / Demonstration
Zukunft
http://www.iku-netz.de/
Warum?
Linux Viren werden zunehmen
XML Virus befällt Mozilla 0.9.8
Linux Server werden immer beliebter
Virenschutz für Windows Systeme erwünscht
Hoher wirtschaftlicher Schaden durch Viren
und Nimda (Quelle: Computer Economics)
http://www.iku-netz.de/
Viren sollten so gut es geht bekämpft werden
Das Problem
hohe Lizenzkosten kommerzieller Virenscanner
viele können sich das nicht leisten
Universitäten, Schulen
kleine Unternehmen
http://www.iku-netz.de/
Die Folge
Es werden Systeme infiziert mit
http://www.iku-netz.de/
guter Internetanbindung
oftmals schlechter Wartung
wenig Sicherheitsbewusstsein
rasante Ausbreitung von Viren
Können wir es schaffen?
z.Zt. existieren > 60.000 Viren
sehr wenige Viren sind wirklich im Umlauf
2001: < 10 unterschiedliche Viren auf einem
Mailserver gefunden
pro Monat etwa 5000 neue Viren
davon treten etwa 5 „in the wild“ auf
Erkennen dieser Viren ist machbar
http://www.iku-netz.de/
Freie Lizenz
GNU Public License (GPL)
Copyright von Dritten muss auf das Projekt
übertragen werden
http://www.iku-netz.de/
Kommerzielle Lizenz
http://www.iku-netz.de/
Lizenzen für Closed Source Projekte können
gekauft werden
Einnahmen dienen der Weiterentwicklung
Virenschutz in vielen Produkten
wer nicht offen sein will, muss das Projekt
finanziell unterstützen
Die Bestandteile
PatternFinder (Java)
Virensignaturen bestimmen
ScannerDaemon (Java)
Virenscan-Dienst
VirusHammer (Java)
eigenständiger Virenscanner mit GUI
Samba-vscan (C)
Zugriffsscan für Samba
Squid-vscan (C)
Zugriffsscan für Squid
Linux-Kernel Modul (C)
http://www.iku-netz.de/
Zugriffsscan
Projektstatus
etwa 1.800 Viren werden erkannt
seit 6 Monaten auf einem Mailserver aktiv
Integration in AMaViS
parallel mit einem kommerziellen Scanner
alle aktuellen Viren werden erkannt
Virenschutz für Mailserver ist praktikabel
VirusHammer ist benutzbar
Squid-vscan ist z.Zt. Proof-of-concept
noch nicht für Produktiveinsatz geeignet
Samba-vscan ist benutzbar
läuft auf einigen Servern
Kernel Modul ist benutzbar
http://www.iku-netz.de/
Warum Java?
plattformunabhängig
einziger Scanner für AS/400 PPC
keine Buffer Overflows
schnell
http://www.iku-netz.de/
PatternFinder: das Problem
Virenscanner suchen nach charakteristischen
Bestandteilen von Viren (Signaturen)
http://www.iku-netz.de/
sind nicht frei verfügbar
Erstellung erfordert Analyse des Virus
PatternFinder: die Lösung
Voraussetzung
Virus
(kommerzieller) Virenscanner, der ihn erkennt
Virus wird systematisch überschrieben
Virenscanner wird gefragt, ob der Virus noch
vorhanden ist
http://www.iku-netz.de/
wenn ja: weiter überschreiben
wenn nein: diese Stelle nicht überschreiben
PatternFinder: das Ergebnis
Gerüst des Virus, das der Virenscanner erkennt
vereinfachte Analyse dieses Gerüstes
evtl. direkte Verwendung im Scanner
~ 1.800 Signaturen sind bekannt
http://www.iku-netz.de/
PatternFinder: Beschleunigung
Starten eines Virenscanners braucht Zeit
mehrere Kopien des Virus werden unabhängig
voneinander gelöscht
alle werden bei einem Start geprüft
http://www.iku-netz.de/
VirusHammer
einfache Verwendung
http://www.iku-netz.de/
VirusHammer
internationalisiert
bereits lokalisiert auf
Englisch, Deutsch, Französisch, Italienisch,
Spanisch
JavaWebStart: Scannen ohne Installation
geplant
http://www.iku-netz.de/
Integration von PatternFinder
besserer Fortschrittsanzeiger
Angabe von DOS-Laufwerksbuchstaben
Berichten von nicht erkannten Viren
Linux Kernel Modul
Anbindung durch Dazuko
(http://www.dazuko.org/)
Datei-Zugriffskontrolle per Userspace Anwendung
Kernel Modul benachrichtigt
Userspace Anwendung gibt frei oder verweigert
triviale Anbindung an ScannerDaemon (etwa 1h
Aufwand)
nutzbar für
Fileserver (z.B. Samba)
bedingt nutzbar für
http://www.iku-netz.de/
Proxy
Mailserver
Squid-vscan
verwendet Squid-Filter von Olaf Titz
http://sites.inka.de/sites/bigred/devel/squid-filter.html
benötigt laufenden ScannerDaemon
Problem: Meldung eines Virus
HTTP-Header sind bereits versendet
Übertragung lässt sich nur abbrechen
Umleitung auf eine Fehlerseite ist nicht möglich
Andere Scanner lassen sich einbauen
http://www.iku-netz.de/
Samba-vscan
Projekt von Rainer Link
Realisierung über Samba Virtual Filesystem
Patch für Samba 2.2.0 - 2.2.3a
Samba 3.0 benötigt keinen Patch
Scannen aller Dateien vor dem Lesen
Zugriff wird bei Infektion verweigert
Unterstützt mehrere Scanner über C-API
http://www.iku-netz.de/
OAV ScannerDaemon
Sophos
Trend Micro
Kaspersky
Symantec
ScannerDaemon
Starten des Scanners braucht Zeit
Duron 800MHz: 4s
als Dienst entfällt das Starten
echo "SCAN /home/kurt" | netcat localhost 8127
Antwort:
OK
FOUND: <Virusname>
Integration in
http://www.iku-netz.de/
AmaViS
MIMEDefang
OdeiaVir
Samba/Squid-vscan/Kernel-Modul
ScannerDaemon: Aufbau
Aufteilung in
Filter
Scanner
Finder
Filter
Vorverarbeitung von Dateien
Extrahierung von Programmdaten (ZIP, UPX, ...)
Scanner
Weiterleitung der Daten an die Finder
Finder
http://www.iku-netz.de/
Suche nach Viren
ScannerDaemon: Finder
erhält Puffer mit
Präfix
Datenblock
Postfix
Finder kann auf mindestens +/- 4kB zugreifen
http://www.iku-netz.de/
Scan-Technik: Stringsuche
viele (binäre) Strings müssen erkannt werden
auch für polymorphe oder verschlüsselte Viren
Aho/Corasick arbeitet unabhängig von der Zahl
der zu suchenden Strings
http://www.iku-netz.de/
http://www-sr.informatik.uni-tuebingen.de/~buehler/AC/AC.html
Aho/Corasick Stringsuche
erstellt einen Baum zur Erkennung
besonderes Merkmal: Failure Function
bei Nichterkennung wird in einen anderen Teil des
Baumes gesprungen
jedes Zeichen muss nur einmal in O(1) verarbeitet
werden
Beispiel
Suchstrings: baumhaus, auffahrt
Text: bauffahrt
Erkennung: b - a - u - f (passt nicht)
Sprung nach: a - u - f
http://www.iku-netz.de/
Modifizierter Aho/Corasick
Knoten im Baum verbrauchen viel Speicher
unwahrscheinlich, dass viele Pattern lange
identische Präfixe haben
maximale Tiefe wurde auf 4 begrenzt
danach lineare Suche
http://www.iku-netz.de/
Aho/Corasick mit Tiefe 3
Stand 06.03.2002:
2.072 Knoten (inkl. Wurzel)
200 Knoten mit Tiefe 1
855 Knoten mit Tiefe 2
Trefferwahrscheinlichkeit: 855/65.536 = 1,3%
1.016 Knoten mit Tiefe 3
Trefferwahrscheinlichkeit: 200/256 = 78%
Trefferwahrscheinlichkeit: 1.016/16.777.216 = 0,006%
1kB: 6%, 32kB: 86%
Praxis (Windows-EXE): Ein Treffer alle 74 Byte
Duron 800MHz: 10MB/Sekunde
http://www.iku-netz.de/
Aho/Corasick mit Tiefe 4
3178 Nodes (+53%)
1 Treffer alle 153 Byte
Duron 800MHz: 12MB/Sekunde (+20%)
http://www.iku-netz.de/
Aho/Corasick: Fazit
ausreichend schnell für Internetverbindungen
E-Mail
Proxy
http://www.iku-netz.de/
Programmcode ist noch nicht optimiert
optimierte Simulation ergab > 100MB/Sekunde
Zukunft
Viren von den Erschaffern
eigenes Virenanalyseteam
Sourcer
Virenreportpolitik
Scanner
Heuristiken
MS-Office Dateien
signiertes Dateiformat
Scannen von mehr Archiven (tar.gz, RAR...)
http://www.iku-netz.de/
Zukunft
Squid-vscan
Squid v2.[456]
Integration weiterer Virenscanner
VirusHammer
mehr Sprachen
bessere Fortschrittsanzeige
Laufwerksbuchstaben auswählbar
Samba-vscan
Scan beim Schreiben
Quarantäne
Auto-clean
http://www.iku-netz.de/
Zukunft
Beta Tester
Wohin mit Viren?
Mail an <[email protected]>
http://www.iku-netz.de/
Demonstration
VirusHammer
Start per Browser
Scannen von Verzeichnissen
ScannerDaemon
Scannen per
„echo SCAN <filename>
| netcat localhost 8127“
Squid-vscan
Zugriffsverweigerung auf Viren im WWW
Kernel Modul
Zugriffsverweigerung bei „normalen“ Zugriffen
Samba-vscan
Zugriffsverweigerung beim Clientzugriff
http://www.iku-netz.de/
Fragen?
http://www.openantivirus.org/
http://www.iku-netz.de/
Kurt Huwig <[email protected]>
http://www.iku-netz.de/
Zugehörige Unterlagen
Vogelgrippe – Übertragungswege der Viren
Vogelgrippe – Übertragungswege der Viren
Infektionsstrategien von Viren DNA-Viren, einige RNA
Infektionsstrategien von Viren DNA-Viren, einige RNA
Mikrobiologie viren Ab Seite Fasse die Symptome einer Influenza
Mikrobiologie viren Ab Seite Fasse die Symptome einer Influenza
Bedrohung durch neue Viren KIT 2005
Bedrohung durch neue Viren KIT 2005
Virotherapie bei Krebs - Medizinische Fakultät Heidelberg
Virotherapie bei Krebs - Medizinische Fakultät Heidelberg
Arbeitsauftrag: Mikrobiologie Viren/Bakterien EBOLA Die
Arbeitsauftrag: Mikrobiologie Viren/Bakterien EBOLA Die
H5N8-Stellungnahme der GfV Seit Anfang des Jahres 2014 werden
H5N8-Stellungnahme der GfV Seit Anfang des Jahres 2014 werden
Keine Angst vor dem Computer-Virus Computerviren
Keine Angst vor dem Computer-Virus Computerviren
Erkältung - HAK Imst
Erkältung - HAK Imst
Bei mir wurde im Gebärmutterhals-Abstrich ein Papilloma
Bei mir wurde im Gebärmutterhals-Abstrich ein Papilloma
Krebsauslösendes Gen IFR3 identifiziert - Online
Krebsauslösendes Gen IFR3 identifiziert - Online
Kleine Kinder vor Infektionen mit dem RS
Kleine Kinder vor Infektionen mit dem RS
PowerPoint-Präsentation
PowerPoint-Präsentation
Entfernt 99,9 % Bakterien, Viren und Pilze von
Entfernt 99,9 % Bakterien, Viren und Pilze von
PowerPoint-Präsentation
PowerPoint-Präsentation
35-6 - Die Virussituation an Leguminosen im Jahr 2016 35
35-6 - Die Virussituation an Leguminosen im Jahr 2016 35
Fachinfo NW10 2015
Fachinfo NW10 2015
Rebvirosen in Rheinland-Pfalz
Rebvirosen in Rheinland-Pfalz
Information Norovirus - praxis dr. weinkauff allgemeinmedizin
Information Norovirus - praxis dr. weinkauff allgemeinmedizin
Stoffverteilung NWA Biologie Klasse 8 Bau einer Zelle Bau
Stoffverteilung NWA Biologie Klasse 8 Bau einer Zelle Bau
Musterseiten 126-127
Musterseiten 126-127
Herunterladen
Werbung