Jak zmieniają się przestępcy?
Pod koniec 2009 r. firma Symantec ogłosiła kilka przepowiedni na 2010 r. Teraz, kiedy minęła już połowa tego roku, specjaliści Symanteca spojrzeli wstecz i sprawdzili czy wspomniane prognozy okazały się słuszne
26.08.2010 | aktual.: 26.08.2010 12:54
Prognoza nr 1: Program antywirusowy nie wystarcza
W 200. roku upowszechniły się zagrożenia polimorficzne oraz nastąpił nagły wzrost liczby unikatowych odmian destrukcyjnego oprogramowania. Równocześnie z tym zjawiskiem wzrosła świadomość, że tradycyjne rozwiązania antywirusowe z sygnaturami plików oraz monitorem heurystycznym opartym na zachowaniach są już niewystarczające. Obecna skala infekcji jest tak olbrzymia, że nowe programy o działaniu destrukcyjnym są tworzone w szybszym tempie niż pożyteczne aplikacje. W tej sytuacji główną rolę będą odgrywać zabezpieczenia uwzględniające wszystkie pliki oprogramowania, na przykład oparte na analizie reputacji.
Stan: Zgodnie z przewidywaniami
Wyjaśnienie: Niestety, cyberprzestępcy zrobili wszystko, aby potwierdzić prognozy. Tylko w ubiegłym roku firma Symantec opracowała 2 89. 802 nowych sygnatur destrukcyjnego kodu. Oznacza to 71% wzrost w porównaniu z rokiem 2008 i jest to ponad połowa sygnatur destrukcyjnego kodu utworzonych w sumie przez firmę Symantec. Co więcej, Symantec zidentyfikował ponad 240 milionów różnych nowych programów o działaniu destrukcyjnym, co oznacza 100% wzrost w stosunku do roku 2008. Zgodnie z oczekiwaniami ten trend wzrostowy utrzyma się w 2010 r. Tylko w pierwszej połowie roku Symantec opracował 1,8 miliona nowych sygnatur destrukcyjnego kodu i zidentyfikował ponad 124 miliony różnych nowych programów o działaniu destrukcyjnym.
W związku z tym coraz mniej prawdopodobne jest, że tradycyjne technologie zabezpieczeń wyłapią wszystkie nowe zagrożenia - jest ich po prostu zbyt dużo, nawet mimo stosowania zautomatyzowanych systemów. Istnieje zatem potrzeba nowej technologii, która nie polegałaby na wychwytywaniu i analizowaniu zagrożenia w celu ochrony przed nim. Technologią taką mogą być zabezpieczenia oparte na analizie reputacji. Do innych metod, które odgrywają główną rolę w walce ze współczesnymi, najpowszechniejszymi zagrożeniami, należą technologie zapobiegania włamaniom, heurystyczne i behawioralne.
Prognoza nr 2: Socjotechnika jako podstawowa metoda ataku.
Coraz częściej atakujący za cel obierają bezpośrednio użytkownika i próbują podstępem nakłonić go do pobrania destrukcyjnego oprogramowania bądź ujawnienia poufnych informacji. Popularność metod manipulacji psychologicznej bierze się z faktu, że nie jest już tak istotne to, jaki system operacyjny czy przeglądarka WWW działają na komputerze użytkownika, gdyż to on, a nie luki w zabezpieczeniach systemu, stanowi główny cel ataku. Socjotechnika jest obecnie jedną z podstawowych broni cyberprzestępców. Szacuje się, że w 201. roku liczba prób ataków z jej wykorzystaniem z pewnością wzrośnie.
Stan: Zgodnie z przewidywaniami
Wyjaśnienie: Dzięki Web 2.0 skuteczność socjotechniki jeszcze bardziej się zwiększyła. Bardzo wielu użytkowników komputerów pokochało społeczności internetowe, więc przyzwyczailiśmy się już do otrzymywania wiadomości e-mail, w których ktoś twierdzi, że chciałby zostać naszym "przyjacielem”. lub "znajomym" i, że teraz nas będzie „obserwował". Atakujący wykorzystują ten fakt i opracowują jeszcze bardziej kreatywne i przekonujące sztuczki skłaniające użytkowników do pobrania oprogramowania destrukcyjnego lub ujawnienia poufnych informacji.
Ataki typu "phishing”. są doskonałym przykładem zagrożenia opartego na socjotechnice. W pierwszej połowie 2010 r. średnio jedna na około 476 wiadomości e-mail stanowiła formę ataku typu „phishing”. Takie ataki są szczególnie niebezpieczne, ponieważ zupełnie nie zależą od rodzaju używanego systemu operacyjnego. W świecie, który w coraz mniejszym stopniu obraca się wokół komputera, ataki typu „phishing” pozwalają przestępcom internetowym wykorzystywać użytkowników komputerów niezależnie od wybranej przez nich platformy. Na oszustwo internetowe narażeni są w równej mierze użytkownicy systemów Windows i Mac, a nawet telefonów komórkowych.
Socjotechnika odegrała znaczącą rolę także w niektórych ostatnich głośnych atakach. Przykładowo w ataku niesławnego konia trojańskiego Hydraq skierowanym przeciwko wielu dużym przedsiębiorstwom wykorzystano, przynajmniej w części, wiadomości e-mail oparte na socjotechnice, które były wysyłane do pojedynczej osoby lub małych grup ludzi z tych organizacji. Jeśli użytkownik otworzył destrukcyjne łącze lub załącznik, koń trojański Hydraq instalował się na jego komputerze.
Prognoza nr 3: Dostawcy fałszywego oprogramowania zabezpieczającego nasilają działalność.
W 201. roku należy spodziewać się, że sprawcy oszustw przy użyciu fałszywego oprogramowania zabezpieczającego zaczną działać z większym rozmachem, posuwając się nawet do przejmowania kontroli nad komputerami ofiary, uniemożliwiając korzystanie z niego i żądając opłat za przywrócenie ich sprawności. Mniej drastyczny scenariusz obejmuje posługiwanie się przez nich oprogramowaniem, które nie jest wprawdzie bezpośrednio destrukcyjne, jednak reprezentuje co najmniej wątpliwą wartość. Już teraz określeni dostawcy fałszywego oprogramowania zabezpieczającego sprzedają pod własną marką oprogramowanie antywirusowe innych producentów. W takim przypadku użytkownicy faktycznie otrzymują oprogramowanie antywirusowe, za które płacą, z tym że jest to oprogramowanie, które gdzie indziej można pobrać bezpłatnie.
Stan: W znacznej części zgodnie z przewidywaniami
Wyjaśnienie: Fałszywe programy zabezpieczające to jeden z najpoważniejszych problemów, przed jakimi stają branża zabezpieczeń i konsumenci. Jeszcze nie doszło do sytuacji, w której sprzedawcy takich aplikacji regularnie posuwaliby się do żądań zapłacenia okupu za uwolnienie zablokowanych komputerów. Nie oznacza to jednak, że cyberprzestępcy nie rozszerzają swojego repertuaru. Przykładowo firma Symantec badała niedawno firmę Online PC Doctors, której agenci telefonują do przypadkowych użytkowników komputerów, aby przekonać ich, że ich komputer jest zainfekowany. Jeśli to się uda, oferują zdalne nawiązanie połączenia z komputerem w celu bliższego przyjrzenia się problemowi. Konsultant oczywiście zgłasza wykrycie wielu przypadków oprogramowania destrukcyjnego - niezależnie od rzeczywistego stanu. Wyjaśnia, że nie ma się czego obawiać, ponieważ firma Online PC Doctors może rozwiązać problemy i to bezpłatnie. Wszystko, co musi zrobić użytkownik, to wysłać wiadomość e-mail na adres firmy Online PC Doctors z
wszystkimi istotnymi informacjami potrzebnymi do płatności, w tym wszystkimi danymi karty kredytowej.
Prognoza nr 4: Aplikacje związane z serwisami społecznościowymi staną się obiektem działań oszustów.
W związku z prognozowanym na kolejny rok niespotykanym wzrostem popularności witryn społecznościowych należy się spodziewać nasilenia oszustw wymierzonych przeciwko ich użytkownikom. Podobnie należy oczekiwać, że właściciele wspomnianych portali będą stosować więcej środków prewencyjnych w celu ochrony przed tymi zagrożeniami. W tej sytuacji z uwagi na fakt, że takie serwisy chętniej udostępniają innym programistom informacje o stosowanych interfejsach API, atakujący zaczną prawdopodobnie w większym stopniu wykorzystywać luki w zabezpieczeniach aplikacji innych firm w celu przechwycenia kont użytkowników tego typu serwisów (podobnie jak zaczęli skupiać się na dodatkach plug-in do przeglądarek, gdy same przeglądarki WWW stały się bezpieczniejsze).
Stan: W znacznej części zgodnie z przewidywaniami
Wyjaśnienie: Tego typu zagrożenia są trudne do śledzenia, ale analiza adresów URL z usługi Symantec Hosted Services wskazuje, że serwisy społecznościowe w 201. r. uaktywniają więcej blokad destrukcyjnych treści niż w 2009 r. W 2009 r. średnio jedna na 451 blokad usługi zabezpieczeń sieci WWW była związana z witryną społeczności internetowej. W 2010 r. ta liczba wzrosła do jednej na zaledwie 301 blokad.
Pojawiają się również informacje dotyczące tworzenia fałszywych aplikacji do różnych celów, np. do rozprzestrzeniania oprogramowania destrukcyjnego, oszustw finansowych czy wykorzystywania użytkowników do rozsyłania spamu. Na przykład ostatnio wykryto aplikację będącą częścią oszustwa związanego z testami na inteligencję, która rejestrowała użytkowników w usłudze telefonii komórkowej premium, kosztującej 1. USD miesięcznie.
Dodatkowym potwierdzeniem rozwoju tego trendu jest niedawna aktualizacja systemu autoryzowania aplikacji dla serwisu Facebook, w celu zmniejszenia liczby oszukańczych i wprowadzających w błąd aplikacji rozprzestrzenianych w ramach tej sieci. Teraz użytkownik jest informowany, jeśli aplikacja próbuje uzyskać dostęp do podstawowych danych lub opublikować ogłoszenie na jego tablicy.
Prognoza nr 5: Na celowniku atakujących będzie system Windows 7.
Firma Microsoft opublikowała już pierwsze poprawki zabezpieczeń nowego systemu operacyjnego. Błędy i niedoskonałości w kodzie komputerowym będą się zdarzały, dopóki będzie go tworzył człowiek, bez względu na to, jak szczegółowe i dokładne testy będą poprzedzały wprowadzenie oprogramowania na rynek. Jednocześnie im bardziej złożony jest taki kod, tym bardziej prawdopodobne, że znajdą się w nim niewykryte luki w zabezpieczeniach. Nowy system operacyjny firmy Microsoft, Windows 7. nie stanowi wyjątku. Gdy zagości na dobre w komputerach w 2010 roku, cyberprzestępcy niewątpliwie odkryją sposoby, jak zaatakować jego użytkowników.
Stan: Wciąż możliwe
Wyjaśnienie: Jak dotąd firma Symantec zarejestrowała tylko jeden większy atak wykorzystujący lukę w zabezpieczeniach systemu Windows 7. Należy jednak pamiętać, że ta luka znajdowała się we wszystkich obsługiwanych systemach operacyjnych firmy Microsoft. Do ataku wykorzystano oprogramowanie destrukcyjne znane jako Stuxnet. Wykorzystywało ono lukę w zabezpieczeniach związaną z tym, w jaki sposób system Windows obsługuje łącza skrótów. Dystrybucja programu Stuxnet była ograniczona, ale atak był ważny, ponieważ było to pierwsze znane oprogramowanie destrukcyjne, którego celem były systemy SCADA.
Uważamy, że zwiększenie liczby ataków na system Windows 7. który jest jednym z najlepiej sprzedających się systemów operacyjnych firmy Microsoft w historii, jest dopiero przed nami. Jest tak dlatego, że cyberprzestępcy szukają najłatwiejszych i najbardziej opłacalnych celów. W przeglądarkach WWW, aplikacjach innych firm mających łączność z siecią WWW i dodatkach plug-in jest tyle łatwiejszych do wykorzystania błędów, że hakowanie nowego systemu operacyjnego po prostu nie jest preferowaną metodą uzyskiwania dostępu do takich systemów, z jednym wyjątkiem, o którym wspomnieliśmy powyżej.
Prognoza nr 6: Więcej dynamicznie zmieniających się sieci typu "bot".
Niektóre sieci typu "bot", np. sieć Storm, działają z zastosowaniem techniki Fast flux. Polega ona na ukrywaniu destrukcyjnych i phishingowych witryn internetowych za nieustannie modyfikowaną siecią komputerów, których zabezpieczenia zostały złamane i które podczas ataków służą jako serwery proxy. Wskutek zastosowania połączeń sieciowych typu peer-to-peer, zdecentralizowanego systemu sterowania, opartego na sieci równoważenia obciążenia oraz przekierowań serwerów proxy pierwotna geograficzna lokalizacja sieci typu „bot”. jest trudna do wykrycia. Ponieważ środki prewencyjne skierowane przeciwko tradycyjnym sieciom typu „bot” zmniejszają ich skuteczność, należy spodziewać się szerszego zastosowania tej techniki do przeprowadzania ataków.
Stan: Wciąż możliwe
Wyjaśnienie: W tym roku Symantec jeszcze nie zarejestrował żadnego ważnego i nowego zagrożenia wykorzystującego technikę Fast flux. Specjaliści zauważyli jednak, że odrodziła się stara sieć korzystająca z techniki Fast flux. Sieć typu „bot”. o nazwie Storm niedawno ponownie stała się główną siecią tego rodzaju i nadal używa techniki Fast flux do ukrywania domen witryn internetowych związanych z hiperłączami rozsyłanymi w spamie.
Zarejestrowano także wzrost liczby zagrożeń takich jak Spakrab, który jest koniem trojańskim wykorzystującym mechanizm „tylnego wejścia”. i zwykle używanym do rozsyłania spamu. To zagrożenie używa technik kamuflażu podobnych w skutkach do Fast flux, np. maskowania lokalizacji geograficznej serwera wysyłającego polecenia i sprawującego kontrolę poprzez wykorzystanie dynamicznych usług DNS. Dynamiczna usługa DNS jest bezpłatna, łatwa do skonfigurowania i umożliwia atakującym wykorzystanie zainfekowanych komputerów niemających statycznych adresów IP do utrudnienia namierzenia ich fizycznej lokalizacji.
Niezależnie od tego, czy zagrożenie używa Fast flux czy innych, podobnych technik, jeśli nie można namierzyć lokalizacji geograficznej zagrożenia, powstrzymanie ataku staje się dużo trudniejsze. Widać więc, dlaczego te metody są tak popularne wśród przestępców internetowych.
Prognoza nr 7: Usługi skracania adresów URL chętnie wykorzystywane przez sprawców ataków typu „phishing”.
Ponieważ użytkownicy często nie mają pojęcia, dokąd naprawdę prowadzą skrócone adresy URL, autorzy ataków typu „phishing”. maskują za ich pomocą łącza, których przeciętny, świadomy zagrożeń użytkownik normalnie by nie kliknął bez zastanowienia. Firma Symantec obserwuje już trend wyrażający się w stosowaniu tej taktyki do rozpowszechniania aplikacji wprowadzających w błąd. Niewątpliwie, taktyka ta będzie jeszcze szerzej wykorzystywana. Dodatkowo należy się spodziewać, że w celu obejścia filtrów antyspamowych za pomocą zaciemniania spamerzy będą korzystali z usług skracania adresów URL do uprawiania przestępczego procederu.
Stan: Zgodnie z oczekiwaniami
Wyjaśnienie: Jak przewidziano, popularność używania przez spamerów adresów URL uzyskanych w usługach skracania łączy zwiększyła się. W szczytowym momencie - w lipcu 200. r. - 9,3% spamu zawierało jakąś formę skróconego hiperłącza uzyskanego przy użyciu jednej z wielu usług skracania online; wartość ta jest odpowiednikiem 10 mld wiadomości typu spam rozsyłanych na świecie każdego dnia. W kwietniu 2010 r. wartość ta wzrosła niemal dwukrotnie - do 18% - i jest to aktualna wartość maksymalna.
Sprawcy ataków typu „phishing”. i autorzy oprogramowania destrukcyjnego używają skróconych adresów URL nie tylko do zastawiania pułapek na użytkowników, ale też do przywracania do życia niektórych starszych zagrożeń. Jak już wspomniano, pod koniec kwietnia i na początku maja 2010 r. firma Symantec zaobserwowała ponowne pojawienie się sieci typu „bot” o nazwie Storm. Większość spamu wysyłanego z nowej sieci Storm (maksymalnie 1,4% całego spamu w dniu 8 maja 2010 r.) zawierała łącza do witryn aptek internetowych. Większość tych łączy miała postać skróconych adresów URL.
Prognoza nr 8: Wzrośnie ilość oprogramowania destrukcyjnego atakującego system Mac oraz telefony komórkowe.
Liczba ataków wykorzystujących luki w zabezpieczeniach określonego systemu operacyjnego lub platformy jest bezpośrednio związana z udziałem danej platformy w rynku, ponieważ autorzy destrukcyjnych aplikacji są nastawieni na osiągnięcie maksymalnego zysku z zainwestowanych pieniędzy. W roku 200. twórcy destrukcyjnego oprogramowania za cel obierali częściej komputery Mac oraz telefony typu „smartphone”. Na przykład sieć typu „bot” Sexy Space atakowała system operacyjny Symbian zainstalowany w urządzeniach przenośnych, natomiast koń trojański OSX.Iservice - użytkowników systemu Mac. Ponieważ w roku 2010 popularność komputerów Mac oraz telefonów typu „smartphone” będzie nadal rosła, więcej atakujących zajmie się tworzeniem destrukcyjnego oprogramowania wykorzystującego luki w zabezpieczeniach tych urządzeń.
Stan: Wciąż możliwe
Wyjaśnienie: Specjaliści Symanteca zarejestrowali kilka nowych instancji oprogramowania destrukcyjnego działającego w systemie Mac OS X, ale jak dotąd nic bardzo poważnego. Urządzenia z systemem iOS, takie jak iPad, iPhone i iPod Touch, z punktu widzenia klienta przeważnie nadal są bezpieczne. W App Store sprzedawano jednak kilka aplikacji, które wykazywały destrukcyjne zachowanie, mimo że firma Apple uparcie twierdzi, że na ich działanie narażonych zostało tylko 40. użytkowników. Platforma została więc zaatakowana, tylko nie w najbardziej oczekiwany sposób.
Na froncie telefonów komórkowych wykryto do dziś ponad 30. luk w zabezpieczeniach iPhone'ów i około tuzina na platformie Android. Oprócz tego nie zaobserwowaliśmy jednak masowego przyrostu zagrożeń bezpieczeństwa telefonów komórkowych. Coraz więcej aplikacji zalewa rynek, a niektóre z nich są tworzone przez nowicjuszy w dziedzinie programowania używających takich narzędzi, jak nowe rozwiązanie App Inventor for Android firmy Google. Specjaliści sądzą więc, że będzie to miało negatywny wpływ na integralność zabezpieczeń urządzeń mobilnych. Co więcej, szybko rozwijający się rynek aplikacji na popularne platformy komórkowe będzie w przyszłości jednym z głównych czynników wzrostu zagrożeń bezpieczeństwa urządzeń mobilnych.
Prognoza nr 9: W miarę dostosowywania metod działań spamerów ilość spamu będzie się zmieniać.
Od roku 200. ilość rozsyłanego spamu wzrastała średnio o 15%. Chociaż ten znaczący przyrost wiadomości zawierających spam może nie utrzymać się w dłuższym terminie, oczywiste jest, że dopóki istnieje bodziec finansowy, spamerzy nie zamierzają wcale dawać za wygraną. Ilość spamu rozsyłanego w roku 2010 będzie się zmieniać odpowiednio do reakcji spamerów na wzrost zaawansowania oprogramowania zabezpieczającego, interwencje odpowiedzialnych usługodawców internetowych oraz instytucji rządowych na całym świecie.
Stan: Zgodnie z przewidywaniami
Wyjaśnienie: Nadal obserwujemy wyścig zbrojeń między spamerami a antyspamerami. Zwycięstwa nad spamem, takie jak wyłączenie sieci typu „bot”. o nazwie Mariposa, zostały zrównoważone przez spamerów działaniami, takimi jak ogromny wzrost wykorzystania jednorazowych adresów URL. O ile wartość procentowa wiadomości zidentyfikowanych jako spam utrzymuje się na stosunkowo stałym poziomie, ilość spamu znacznie się zwiększa.
Prognoza nr 10: Technologia CAPTCHA zostanie udoskonalona.
Spamerzy mają większe trudności ze złamaniem usprawnionych kodów CAPTCHA za pomocą automatycznych procesów, dlatego ci z nich, którzy działają na obszarach rozwijających się rynków, zatrudniają ludzi do ręcznego tworzenia nowych kont do spamowania. Firma Symantec szacuje, że osoby zatrudnione do ręcznego tworzenia takich kont będą opłacane stawkami w wysokości nieprzekraczającej 10. kosztów ponoszonych przez zlecającego tę pracę spamera. Twórcy takich kont będą pobierali zatem opłaty w wysokości 30 - 40 USD za 1000 kont.
Stan: Zgodnie z oczekiwaniami
Wyjaśnienie: Pod koniec kwietnia 201. r. gazeta The New York Times opublikowała artykuł na temat spamerów płacących pracownikom w krajach rozwijających się za wprowadzanie kodów CAPTCHA w celu ręcznego generowania nowych kont na potrzeby rozsyłania spamu. Według raportu gazety stawka za taką pracę wynosiła od 80 centów do 1,20 USD za każde 1000 odcyfrowanych kodów CAPTCHA.
Prognoza nr 11: Spam rozsyłany w komunikatorach internetowych.
Podczas gdy przestępcy działający w sieci będą próbowali nowych sposobów obchodzenia technologii CAPTCHA, coraz powszechniejsze staną się ataki z wykorzystaniem komunikatorów internetowych. Zagrożenia ich dotyczące będą w dużej mierze obejmowały niepożądane wiadomości zawierające destrukcyjne łącza i będą w szczególności obliczone na przechwycenie autentycznych kont komunikatorów internetowych. Firma Symantec prognozuje, że do końca roku 201. jedna na 300 wiadomości przesyłanych za pomocą komunikatorów internetowych będzie zawierała adres URL. Ponadto przewiduje się, że w sumie jedno na 12 hiperłączy będzie prowadziło do domeny z destrukcyjnym oprogramowaniem. Zatem jedno na 12 hiperłączy wyświetlanych w wiadomościach komunikatorów internetowych będzie zawierało adres domeny uznawanej za podejrzaną i niebezpieczną. W połowie 2009 roku analogiczny wskaźnik wynosił jedno na 78 hiperłączy.
Stan: Zgodnie z oczekiwaniami
Wyjaśnienie: Od czerwca 201. r. dane firmy Symantec wskazują, że jedna na 387 wiadomości komunikatorów internetowych zawiera jakąś formę hiperłącza i że jedno na osiem wiedzie do destrukcyjnej witryny internetowej, tj. do witryny zawierającej formę oprogramowania destrukcyjnego zaprojektowanego w celu zrealizowania ataku typu „drive-by download" na lukę w zabezpieczeniach przeglądarki WWW lub jej dodatku plug-in.
Prognoza nr 12: Zwiększy się ilość spamu w innych językach niż angielski.
W miarę upowszechniania się połączeń szerokopasmowych na świecie, szczególnie w rozwijających się gospodarkach, wzrośnie ilość spamu w krajach, których mieszkańcy nie posługują się językiem angielskim. Firma Symantec szacuje, że w niektórych częściach Europy odsetek zlokalizowanych wersji spamu przekroczy 50%.
Stan: Prawdopodobnie w przyszłym roku
Wyjaśnienie: Dalsza analiza wykazuje, że wskaźnik spamu jest w przypadku niektórych domen wyższy niż 50-procentowy dla wersji w językach lokalnych, ale średnia nie jest tak wyrazista. Niektóre domeny, np. .com, nadal przyciągają więcej anglojęzycznego spamu niż najlepsze domeny krajowe. Mimo że oczekiwano zwiększenia się tych wartości, w wielu nieanglojęzycznych krajach stało się coś zupełnie przeciwnego. Przykładowo w Brazylii, w której wskaźnik spamu w językach lokalnych był stale najwyższy, jego wartość od końca 2009 roku - kiedy wynosiła aż 41% - nie wzrosła, a spadła.