W drugiej połowie 2003 r. zaobserwowano znaczny wzrost liczby zagrożeń hybrydowych atakujących systemy operacyjne Windows. Napastnicy i zagrożenia hybrydowe coraz częściej przeprowadzają atak, wykorzystując wcześniej zainfekowane systemy.

W raporcie przeanalizowano i omówiono aktualne tendencje dotyczące ataków internetowych, luk w zabezpieczeniach i działań związanych z wykorzystywaniem destrukcyjnych programów.

W 2003 r. zagrożenia hybrydowe nadal stanowiły jeden z najistotniejszych problemów związanych z zapewnieniem bezpieczeństwa, z jakimi spotykały się firmy. Zagrożenia te wykorzystują różne metody i techniki, aby się rozprzestrzeniać, dlatego też mogą bardzo szybko spowodować rozległe zniszczenia. Zaobserwowano, że ich skuteczność jest coraz większa. Blaster, Welchia, Sobig.F i Dumaru to cztery zagrożenia hybrydowe, które rozprzestrzeniły się błyskawicznie w ciągu ostatnich sześciu miesięcy.

W 2003 r. firma Symantec udokumentowała wykrycie 2636 nowych luk w zabezpieczeniach, czyli średnio siedem takich luk na dobę. Nowo wykryte luki w zabezpieczeniach są coraz niebezpieczniejsze i coraz łatwiej je wykorzystać. Stwierdzono, że 70% luk w zabezpieczeniach wykrytych w 2003 r. można było łatwo wykorzystać, ponieważ nie wymagały użycia specjalnego kodu lub taki kod był powszechnie dostępny. Liczby te oznaczają, że napastnicy mogą łatwiej uzyskać dostęp do większej liczby systemów o znaczeniu krytycznym. Jeszcze bardziej niepokojący jest fakt, że od ogłoszenia informacji o wykryciu luki w zabezpieczeniach do pojawienia się związanego z nią specjalnego kodu upływa coraz mniej czasu.

Więcej robaków wykorzystało luki w zabezpieczeniach podstawowych składników systemu Windows. Komponenty te są bardziej rozpowszechnione od oprogramowania serwerów atakowanego przez starsze typy robaków sieciowych, co oznacza, że istnieje znacznie więcej systemów z lukami w zabezpieczeniach. Robaki te wykorzystywały jeszcze dwa inne czynniki: skrócenie się czasu dzielącego wykrycie luki w zabezpieczeniach od pojawienia się specjalnego kodu oraz wzrost tendencji do opracowywania takiego specjalnego kodu.

W poprzednich raportach firma Symantec zwróciła już uwagę na skracanie się czasu między wykryciem luki w zabezpieczeniach a jej powszechnym wykorzystaniem. Symantec uważa, że już wkrótce pojawią się zagrożenia, w których zdarzenia te będą zachodzić równocześnie. Zagrożenia hybrydowe tego typu mogłyby wykorzystać taką lukę w zabezpieczeniach jeszcze przed poinformowaniem o jej wykryciu i przed udostępnieniem programu korygującego. Gdyby taka niebezpieczna sytuacja miała miejsce, mogłoby dojść do rozległych zniszczeń, zanim użytkownicy byliby w stanie skorygować swoje systemy.

Specyfika ataków internetowych

- Celem najbardziej niebezpiecznych ataków były takie branże jak bankowość, ochrona zdrowia i energetyka. Stosunkowo wysoki wskaźnik niebezpiecznych ataków odnotowano w przypadku infrastruktur o znaczeniu krytycznym oraz firm o znacznych zasobach finansowych.

- Prawie jedna trzecia wszystkich napastników zaatakowała luki w zabezpieczeniach wykorzystane przez robaka o nazwie Blaster i jego następców. Inne robaki, które pojawiły się w poprzednich okresach, przetrwały do dziś i nadal atakują zapory oraz systemy wykrywania włamań (intrusion detection system ľ IDS) na całym świecie. Pewna liczba nieskorygowanych systemów nadal pozwala im działać.

- Napastnicy i zagrożenia hybrydowe coraz częściej atakują systemy za pośrednictwem programów typu backdoor ("tylne drzwi") zainstalowanych tam przez innych napastników i inne robaki. Wykorzystując je w celu przejęcia kontroli nad atakowanym systemem, napastnicy mogą zainstalować własne programy typu backdoor lub wykorzystać zainfekowany system do udziału w rozproszonym ataku typu odmowa usługi (distributed denial of service ľ DDoS).

- Celem dużej liczby napastników były ogólnie dostępne równorzędne punkty współużytkowania plików, zajmujące trzy spośród dziesięciu pozycji w rankingu najczęstszych celów ataku. Świadczy to o rosnącej popularności równorzędnego współużytkowania plików i tendencji do filtrowania tego ruchu przez firmy i instytucje.

- Ponad 70% klientów korzystających z usług działu zarządzanych usług zabezpieczania (Managed Security Services) przez ponad pół roku uniknęło niebezpiecznego ataku, podczas gdy wszyscy nowi klienci (korzystający z tej opieki krócej niż przez trzy miesiące) spotkali się z takim atakiem.