Prof. Dr. Norbert Pohlmann
Christian Dietrich
Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.deE-Mail-Verläßlichkeit
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 2
Inhalt
E-Mail AnwendungUmfrage „E-Mail Verlässlichkeit“ IP Reputation Service
Einschätzung „Viren, Würmer, Trojaner, …“ Zusammenfassung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 3
Inhalt
E-Mail Anwendung
Umfrage „E-Mail Verlässlichkeit“ IP Reputation Service
Einschätzung „Viren, Würmer, Trojaner, …“ Zusammenfassung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 4
E-Mail-Anwendung
Idee
E-Mail ist ein textbasiertes Kommunikationswerkzeug, mit dem
weltweit einfach und schnell Informationen ausgetauscht werden können. E-Mail ist ein Ersatz für:
Die „Schneckenpost“: Postkarten, Briefe und Päckchen Faxe
E-Mail ist eine elastische Anwendung, in der diskrete Medien, die zeitunabhängig sind, wie Text und Grafik, ausgetauscht werden.
Vorteile der E-Mail-Anwendung sind:
Einfach – jeder kann damit umgehen (Einfache Namen, Handhabung)
Schnell – innerhalb weniger Sekunden
Weltweit – jeder kann immer erreicht werden (Mail-Boxen)
Kein Medienbruch – die Info. können weiterverwendet werden
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 5
Eine globale Herausforderung
Echtzeit Business erfordert Sicherheit,
Vertrauen und Verfügbarkeit
in allen gesellschaftlichen und wirtschaftlichen Bereichen! Das Internet geht über alle
geographischen Grenzen,
politischen/administrativen Grenzen und Kulturen hinaus
und stellt somit eine neue und ungewohnte Herausforderung für die internationale Gesellschaft dar.
Die Geschwindigkeit, in der neue Anforderungen auftauchen wird immer rasanter und damit steigt das Sicherheitsrisiko.
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 6
E-Mail Anwendung
Realität (1/2)
E-Mail macht 12% der Bandbreite im Backbone international agierender IP-Carrier aus.
Pro Monat mehr als 1.000 Mrd. E-Mails weltweit (sehr grobe Schätzung). Obwohl die E-Mail nicht als verlässlicher Dienst entworfen wurde, dient die E-Mail-Anwendung heute der unkomplizierten und schnellen
Kommunikation zwischen Geschäftspartnern und Privatleuten weltweit.
Gerade aufgrund der geschäftlichen Nutzung wird dem E-Mail Dienst ein sehr hohes Maß an Zuverlässigkeit abverlangt.
E-Mail im beruflichen Alltag
Zu viele E-Mails an einem Tag (mehr als 50 Stück) Zu schnelle Reaktion (schlechte Qualität)
Disziplin beim Versenden (wichtig/unwichtig; AN/CC)
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 7
E-Mail Anwendung
Realität (2/2)
E-Mail ist für die Informationsgesellschaft ein nicht mehr wegzudenkender Service.
SPAM, Viren und andere Schwachstellen sind ein ernsthaftes Problem mit hohem Schaden.
Die E-Mail-Anwendung stellt ein sehr hohes Sicherheitsrisiko dar!
Dieser Trend lässt die Frage zu, ob E-Mail in der nahen Zukunft noch genauso einfach und effizient eingesetzt werden kann wie bisher.
Die positive Nutzung von E-Mails und damit die
Informationsgesellschaft sind bedroht!
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 8
Inhalt
E-Mail AnwendungUmfrage „E-Mail Verlässlichkeit“
IP Reputation Service
Einschätzung „Viren, Würmer, Trojaner, …“ Zusammenfassung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 9 Feststellung:
Der Art der Informationen, die per E-Mail ausgetauscht werden Der Anteilsverteilung des E-Mail-Volumens (Spam, Viren und Co.) Des aktuellen Bedrohungszustandes
Der eingesetzten Gegenmaßnahmen
Welche Daten sich über die Zeit verändern
Ziele der Umfrage
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 10
Allgemeine Statistik
Generalisierte Sichtweise (1. Lauf)
Rechtsform AG 13 Behörde 34 GmbH 28 Hochschule 9 ISP 7 Andere 28 Gesamt 119 Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Teilnehmer: 119 E-Mail-Accounts: 40.000.000 Pro AG ca. 80 T E-Mail-Adressen Pro GmbH ca. 3 T E-Mail-Adressen Pro ISP
ca. 5,5 Mio. E-Mail-Adressen
E-Mails/Monat:
2.300.000.000
Annahme 1.000 Mrd. E-Mails pro Monat weltweit
1/400 aller E-Mails weltweit E-Mails über ISPs machen
Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 11
Allgemeine Statistik
Generalisierte Sichtweise (2. Lauf)
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Teilnehmer: 51 (-X) E-Mail-Accounts: 18.500.000 E-Mails/Monat: 1.000.000.000
Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 12
Allgemeine Statistik
Generalisierte Sichtweise (3. Lauf)
Rechtsform AG 5 Behörde 4 GmbH 4 Andere 10 Gesamt 23 Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Teilnehmer: 23 (gute) E-Mail-Accounts: 12.800.000 E-Mails/Monat: 1.100.000.000
Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 13
Generalisierte Sichtweise
Übersicht über Maßnahmen
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails Keine E-Mail-Accounts IP-Blacklist Keine E-Mail-Accounts Virenverseuchte Mails Spam Mails Frequenzanalysen
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 14
Generalisierte Sichtweise – Vergleich
Ergebnisse: System, Eingang
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 22,32% | 28,2%* | 18,8%** IP-Blacklist 3,03 % | 13,4 %* | 34,2 %** Spam Mails 56,26 % | 36,5 %* | 37,5 %** Keine E-Mail-Accounts 5,5 % | 11,7 %* | 2,5 %** Virenverseuchte Mails 2,65 % | 2,5 %* | 0,8 %** Keine E-Mail-Accounts 10,24 % | 5,0 %* | 6,1 %** 91,47 % | 74,9 %* 63,3 %** 100 % Vergleich Ende 2004 Sommer 2005 Ende 2006
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 15
Generalisierte Sichtweise – Vergleich
Ergebnisse: System, angenommene
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 24,4 % | 37,6 %* | 29,7 %** IP-Blacklist Spam Mails 61,5 % | 48,8 %* | 59,2 %** Keine E-Mail-Accounts Virenverseuchte Mails 2,9 % | 3,3 %* | 1,2 %** Keine E-Mail-Accounts 11,2 % | 6,7 %* | 9,7 %** 100 %
*restliche 3,6 % nicht zuordbar
Vergleich
Ende 2004
Sommer 2005 Ende 2006
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 16
Generalisierte Sichtweise – Vergleich
Ergebnisse: Nutzerperspektive
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 27,5 % | 40,3 %* | 33,0 %** IP-Blacklist Spam Mails 69,3 % | 52,3 % | 65,6 %** Keine E-Mail-Accounts Virenverseuchte Mails 3,3 % | 3,5 %* | 1,3 %** Keine E-Mail-Accounts*restliche 3,9 % nicht zuordbar
Vergleich
Ende 2004
Sommer 2005 Ende 2006
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 17
E-Mail Verlässlichkeit
Ideen/Empfehlungen: System, Eingang
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 22,1 % IP-Blacklist 67 % Spam Mails 7 % Keine E-Mail-Accounts 3 % Virenverseuchte Mails 0,6 % Keine E-Mail-Accounts 0,3 % 30 %
Welche Mechanismen helfen?
IP Reputation Service
Vor der Annahme prüfen, ob ein E-Mail-Account vorhanden ist
Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 18
E-Mail Verlässlichkeit
Ideen/Empfehlungen: System, ange.
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 74 % IP-Blacklist Spam Mails 23 % Keine E-Mail-Accounts Virenverseuchte Mails 2 % Keine E-Mail-Accounts 1 % 100 %
Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 19
E-Mail Verlässlichkeit
Ideen/Empfehl.: Nutzerperspektive
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler erwünschte Mails 74,7 % IP-Blacklist Spam Mails 23,3 % Keine E-Mail-Accounts Virenverseuchte Mails 2 % Keine E-Mail-Accounts Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 20
E-Mail Verlässlichkeit
Verschlüsselte E-Mails (Lauf 1)
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Rechtsform AG 2,1 Behörde 1,1 GmbH 5,3 Hochschule 0,3 ISP 0,5 andere 7,7 Gesamtergebnis 4,3 Verfahren: PGP/OpenPGP/GPG: 36,7% S/MIME: 22,8% Passphrase-gestützt: 3,8%
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 21
E-Mail Verlässlichkeit
Verschlüsselte E-Mails (Lauf 3)
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler
Anteil verschlüsselter E-Mails: 2,16%
IT-Berater: 60 %, Redaktionsbüro 50 % => 9,2% Verfahren: PGP/OpenPGP/GPG: 39,1% S/MIME: 26,1% Passphrase-gestützt: 4,3%
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 22
E-Mail Verlässlichkeit
Signierte E-Mails (Lauf 1)
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler Branche Bildungsinstitution 0,0 Finanzdienst-leistungen 21,2 Informations-technologie 7,9 Öffentlicher Dienst 0,8 Industrie 0,3 Dienstleistungen 0,5 ISP 1,5 Gesamtergebnis 5,9 Widerspruch
Über 45% der Befragten betreiben kritische Geschäftsprozesse auf E-Mail-Basis!
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 23
E-Mail Verlässlichkeit
Signierte E-Mails (Lauf 3)
Mail-Gateway TCP/IP SMTP Spam -Filter V iren -Scanner V erteiler
Anteil signierter E-Mails: 4,0%
IT-Berater: 60 %, Redaktionsbüro 50 % => 10,8%
Widerspruch
Über 66% der Befragten betreiben kritische Geschäftsprozesse auf E-Mail-Basis!
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 24
Einsatz von Antispam-Lösungen
(Lauf 3)
Immer noch 9% ohne Spam-Schutz!
Einsatz von Antispam-Lösungen
17% 9% 44% 0% 30% keine Angabe keine Antispam-Lösung
ausschließlich ein Produkt/eine Dienstleistung
ausschließlich Eigenentwicklung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 25
Antispam-Mechanismen (Verbreitung)
(Lauf 3) Antispam-Mechanismen 43,5% 43,5% 30,4% 21,7% 30,4% 21,7% 26,1% 56,5% 65,2% 34,8% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0% Nicht-Annahme von Mails von Dialup-IpsAblehnen von nicht zustellbaren E-Mails im SMTP-Dialog Blacklisting während des SMTP-Dialogs Blacklisting nach Abschluss des SMTP-Dialog Whitelisting während des SMTP-Dialogs Whitelisting nach Abschluss des SMTP-Dialogs Greylisting Header-Checks Body-Checks (Strings) Hash-Verfahren
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 26
Antispam-Mechanismen
(Vergleich: 1. und 2. Lauf)
Zunahme: Hash-Verfahren, Greylisting, Header, Ablehnen von
nicht-zustellbaren E-Mails im SMTP-Dialog
Abnahme: Nicht-Annahme von Dialup-IPs (!), Black- und
Whitelisting nach Abschluss des SMTP-Dialogs (hoher Aufwand!)
Antispam-Mechanismen 43,5% 43,5% 30,4% 21,7% 30,4% 21,7% 26,1% 56,5% 65,2% 34,8% 47,1% 28,6% 28,6% 33,8% 28,6% 22,1% 10,4% 48,1% 59,7% 27,3% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% 60,0% 70,0%
Nicht-Annahme von Mails von Dialup-Ips
Ablehnen von nicht zustellbaren E-Mails im SMTP-Dialog Blacklisting während des
SMTP-Dialogs
Blacklisting nach Abschluss des SMTP-Dialog
Whitelisting während des SMTP-Dialogs
Whitelisting nach Abschluss des SMTP-Dialogs Greylisting Header-Checks Body-Checks (Strings) Hash-Verfahren 2005 2006
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 27
Anti-Virus-Verfahren
(Lauf 3)Viren-behaftete Mails werden mehrheitlich gelöscht
Anti-Virus-Verfahren 2 1 10 9 1 0 2 4 6 8 10 12 keine Angabe kein Anti-Virus-Verfahren Viren-behaftete Mails werden
gelöscht
Viren-behaftete Mails werden in Quarantäne gestellt und dann
gelöscht
Viren-behaftete Mails werden in Quarantäne gestellt
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 28
Kritische Geschäftsprozesse per E-Mail
Kritische Geschäftsprozesse per E-Mail
17% 66% 17% keine Angabe ja nein 1. Lauf: 45 %, jetzt 66 %
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 29
Key Findings (1/2)
Lauf 1 (Ende 04) 2 (Sommer 05) 3 (Ende 06)
Erwünschte Mails 22,32 28,2 18,8 Viren 2,65 2,5 0,8 Spam (Rest) 75,03 69,3 80,4 Verschlüsselte Mails 4,3 2,2 (9,2) Signierte Mails 5,9 4 (10,8) Kein Spam-Schutz 8,9 9 kritische Geschäftsp. 45 66
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 30
Key Findings (2/2)
Deutlich mehr abgewiesene Verbindungen bereits auf IP-Ebene (vermutlich alles durch IP-Blacklisting), teilweise bis zu 90%(!), im Durchschnitt 34,2% (vgl. Folie „Generalisierte Sichtweise – Vergleich“)
Weniger E-Mails werden im SMTP-Dialog aufgrund von Nichtzustellbarkeit abgewiesen
vermutlich wegen mehr Erfolg durch IP-Blacklisting (weniger Directory Harvest Attacks)
Anteil an angenommenen, nicht zustellbaren E-Mails seit 2.Umfrage in etwa gleich (6,1% vs. 5,0%)
möglicher Grund: "bestehende E-Mail-Infrastrukturen werden nicht mehr angefasst"
Anteil an angenommenen Spam-Mails in etwa gleich zur 2.Umfrage (37,5% vs. 36,5%), aber: weniger erwünschte Mails, d.h. aus Sicht des Users:
mehr Spam!
Deutlich weniger Viren-Mails (0,8%) (lässt sich durch externe Quellen bestätigen, z.B: MessageLabs: Jahresdurchschnitt für 2006: 1,38%)
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 31
E-Mail Verlässlichkeit
Einschätzung der Bedrohungslage
Spam wird im Vergleich zu Viren als die größere Gefahr wahrgenommen (neu!).
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 32
Inhalt
E-Mail AnwendungUmfrage „E-Mail Verlässlichkeit“
IP Reputation Service
Einschätzung
„Viren, Würmer, Trojaner, …“ Zusammenfassung
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 33
IP Reputation Service
Reputationbezeichnet „die gesellschaftliche Wertschätzung einem Menschen oder einer Gruppe gegenüber“ (Quelle: wikipedia)
Dienst zur Abfrage einer dienstorientierten Qualität Beispiel:
E-Mail: deutlich erhöhter inbound SMTP-Traffic von der IP-Adr. 213.165.64.20 festgestellt
Mit dem Wissen, dass es sich bei der 213.165.64.20 um einen der Mailouts eines E-Mail-Provider handelt folgt
Vermutlich legitimer Traffic NSP/ESP: „Alles o.k.“ Service
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 34
Dialup-IPs sind Spam-Quelle Nr. 1
Bot-Viren und Spam
97% des Spam-Aufkommens wird durch sogenannte „Bot-Viren“ verursacht, die PCs befallen.
„Bot-Viren“ versenden massenhaft Spam-Mails direkt an die eingehenden Mail-Server der jeweiligen E-Mail-Provider
Smarthosts werden umgangen
PCs erhalten bei jeder Einwahl eine dynamische Dialup-IP aus dem IP-Nummernblock des jeweiligen ISPs zugewiesen
Feststellung
Dialup-IPs versenden niemals erwünschte E-Mails an eingehende Mail-Server
Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 35
üblicher Austausch von E-Mails
Kunden-PC mit Dialup-IP SMTP Server (Smarthost) ausgehender Mail-Server eingehender Mail-Server (MX) eingehende E-Mails ISP 1 ausgehende E-Mails Kunden-PC mit Dialup-IP SMTP Server (Smarthost) ausgehender Mail-Server eingehender Mail-Server (MX) ISP 2
Dialup-IPs sind Spam-Quelle Nr. 1
Spam-Versand direkt an MX
Spam-Versand direkt an MX
Kompromittierter Rechner
Prof . Dr. N orb ert P ohlm ann, Institut fü r Int ernet -Sich erhe it (if is), FH Ge lsen kirch en 36
Spam-Unterdrückung auf IP-Basis
Die „IP-Karte“
Bisher unauffällige IPs
?
Auffällig gewordene IPs (z.B. gehackte Server, Open Relays)
Bekannte Dialup-IPs
IPs aller bekannten Mailserver (MTAs)
0.0.0.0 255.255.255.255
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 37 Blacklist: - Dialup-IPs (Blöcke)
- Auffällige statische IPs
SMTP-Reject
Aktuelles Vorgehen bei ISPs
Black- & Whitelist
Die dargestellte „IP-Karte“ ist Basis für die manuelle Erstellung einer Blacklist bzw. Whitelist.
Whitelist:
- IPs aller bekannten MTAs
- Unauffällige IPs
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 38
Aktuelles Vorgehen
Systematik einer IP-Karte
Die hinterlegten bekannten E-Mail-Server sowie die Dialup-IP-Blöcke beruhen auf Beobachtung der ISP-Landschaft.
IP-Verbindungen von unbekannten bzw. bisher unauffälligen IPs werden zugelassen, d.h. die Mails werden angenommen.
Eine Eintragung in die Blacklist ist abhängig vom Vorliegen konkreten Spam-Verdachts (Beschwerden, Zahl der Mails, Anteil gültiger Adressen, etc.)
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 39
Aktuelles Vorgehen
Potenzial einer IP-Karte
Die Rate der erkannten Spam-Mails muss noch weiter gesteigert werden. Hierzu müssen Spam-IPs vor allem schneller identifiziert werden als heute. Eine „IP-Karte“ muss national bzw. global etabliert werden, um Spam
generell und nachhaltig einzudämmen.
Notwendiges Vorgehen:
Austausch von „IP-Karten“ und Selbstauskünften zwischen interessierten ISPs weltweit.
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 40
Vorschlag für globale Lösung
Selbstauskunft und „Spam-Karte“
Die ISPs tauschen regelmäßig Selbstauskünfte und Beobachtungsdaten („IP-Karten“) aus.
Es handelt sich dabei um attributierte IP-Listen.
Diese enthalten auch die AS-Nummern, um die Überprüfbarkeit der Angaben sicherzustellen.
Selbstauskunft
- IPs aller Mailserver (MTAs)
- Dialup-IPs (Blöcke)
evtl. zusätzlich:
- statisch vergebene IPs
„Spam-Karte“ - Auffällige IPs
- IPs schlecht
administrierter Mailserver (MTAs)
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 41
Vorschlag für globale Lösung
Interpretation der „IP-Karten“ (1/2)
Ein Abgleich der Reputation bestätigt oder relativiert eigene Beobachtungen und zeigt neue potentielle Spam-Quellen auf.
A
B
C
∑
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 42
Vorschlag für globale Lösung
Interpretation der „IP-Karten“ (2/2)
Aus der Vielzahl der eingehenden Selbstauskünfte und
Beobachtungsdaten („IP-Karten“) werden Informationen aggregiert. Je größer die Beteiligung, desto höherer Nutzen für alle Beteiligte. Ziel: Vollständige IP-Karte über den gesamten IP-Adressraum.
> 95%
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 43
Vorschlag für globale Lösung
Vorteile einer IP-Karte
Im Sinne einer Semi-Closed-User-Group steht die IP-Karte prinzipiell allen ISPs offen.
Bereits mit wenigen aktiven Teilnehmern der IP-Karte ist eine hohe Marktabdeckung und damit eine schnelle und wirksame
Spam-Identifikation zu erreichen.
Die Selbstauskünfte der aktiven ISPs verringern das Risiko von „false positive“ Fällen.
Jeder Teilnehmer ist frei in der Verwendung der aus dem Austausch gewonnen Informationen.
Dezentrale Struktur verhindert Mißbrauch durch einzelne Teilnehmer und erhöht die Verfügbarkeit.
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 44
Inhalt
E-Mail AnwendungUmfrage „E-Mail Verlässlichkeit“ IP Reputation Service
Einschätzung
„Viren, Würmer, Trojaner, …“
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 45
Viren, Würmer, Trojaner, …
Einschätzung
Viren haben sich zu einem „etablierten Problem“ entwickelt. Weitere Herausforderungen
Konsequente Umsetzung von zentralen und dezentralen Anti-Viren
Sicherheitsmechanismen
Geschwindigkeit neuer Signaturen (Verwundbarkeitsfenster) In den letzten Jahren von 12 auf 10 Stunden reduziert
Ziel: 3 Stunden
vorausschauenden Erkennungstechnologien
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 46
Inhalt
E-Mail AnwendungUmfrage „E-Mail Verlässlichkeit“ IP-Reputation Service
Einschätzung
„Viren, Würmer, Trojaner, …“
Prof . Dr. N orb ert P ohlm ann, Institut fü r Inte rnet -Sich erhe it (if is), FH Ge lsen kirch en 47
E-Mail Verlässlichkeit
Zusammenfassung
E-Mail ist eine sehr wichtige Anwendung, auf die wir nicht verzichten können!
„Alle“ tun was gehen Spam, Viren und Co. (9 % ohne Antispam-Lösungen)
Frequenzanalysen des Kommunikationsverhaltens der E-Mail-Partner
und weitere Validierungen helfen, Hinweise auf missbrauchende Hosts zu bekommen
IP-Reputation Services können helfen das Spam-Problem deutlich zu reduzieren
Weitere Informationen unter:
Prof. Dr. Norbert Pohlmann
Christian Dietrich
Institut für Internet-Sicherheit Fachhochschule Gelsenkirchen http://www.internet-sicherheit.de