Bezpieczeństwo w Internecie I poł. 2010

Prognoza nr 1: Program antywirusowy nie wystarcza
W 2009 roku upowszechniły się zagrożenia polimorficzne oraz nastąpił nagły wzrost liczby unikatowych odmian destrukcyjnego oprogramowania. Równocześnie z tym zjawiskiem wzrosła świadomość, że tradycyjne rozwiązania antywirusowe z sygnaturami plików oraz monitorem heurystycznym opartym na zachowaniach są już niewystarczające. Obecna skala infekcji jest tak olbrzymia, że nowe programy o działaniu destrukcyjnym są tworzone w szybszym tempie niż pożyteczne aplikacje. W tej sytuacji główną rolę będą odgrywać zabezpieczenia uwzględniające wszystkie pliki oprogramowania, na przykład oparte na analizie reputacji.

Stan: Zgodnie z przewidywaniami

Wyjaśnienie: Niestety, cyberprzestępcy zrobili wszystko, aby potwierdzić nasze prognozy. Tylko w ubiegłym roku firma Symantec opracowała 2 895 802 nowych sygnatur destrukcyjnego kodu. Oznacza to 71% wzrost w porównaniu z rokiem 2008 i jest to ponad połowa sygnatur destrukcyjnego kodu utworzonych w sumie przez firmę Symantec. Co więcej firma Symantec zidentyfikowała ponad 240 milionów różnych nowych programów o działaniu destrukcyjnym, co oznacza 100% wzrost w stosunku do roku 2008. Zgodnie z oczekiwaniami ten trend wzrostowy utrzyma się w 2010 r. Tylko w pierwszej połowie roku opracowaliśmy 1,8 miliona nowych sygnatur destrukcyjnego kodu i zidentyfikowaliśmy ponad 124 miliony różnych nowych programów o działaniu destrukcyjnym.

W związku z tym coraz mniej prawdopodobne jest to, że tradycyjne technologie zabezpieczeń wyłapią wszystkie nowe zagrożenia — jest ich po prostu zbyt dużo, nawet mimo stosowania zautomatyzowanych systemów. Istnieje zatem potrzeba nowej technologii, która nie polegałaby na wychwytywaniu i analizowaniu zagrożenia w celu ochrony przed nim. Technologii takiej, jak zabezpieczenia firmy Symantec oparte na analizie reputacji. Do innych metod, które odgrywają główną rolę w walce ze współczesnymi, najpowszechniejszymi zagrożeniami, należą technologie zapobiegania włamaniom, heurystyczne i behawioralne.

Prognoza nr 2: Socjotechnika jako podstawowa metoda ataku
Coraz częściej atakujący za cel obierają bezpośrednio użytkownika i próbują podstępem nakłonić go do pobrania destrukcyjnego oprogramowania bądź ujawnienia poufnych informacji. Popularność metod manipulacji psychologicznej bierze się z faktu, że nie jest już tak istotne to, jaki system operacyjny czy przeglądarka WWW działają na komputerze użytkownika, gdyż to on — a nie luki w zabezpieczeniach systemu — stanowi główny cel ataku. Socjotechnika jest obecnie jedną z podstawowych broni cyberprzestępców. Firma Symantec szacuje, że w 2010 roku liczba prób ataków z jej wykorzystaniem z pewnością wzrośnie.

Stan: Zgodnie z przewidywaniami

Wyjaśnienie: Faktycznie, w tym przypadku rzeczywiście nie zaryzykowaliśmy mocniejszych stwierdzeń. Socjotechnika jest prawdopodobnie drugim najstarszym zawodem na świecie i wykorzystanie jej w komunikacji cyfrowej było do przewidzenia. Dzięki Web 2.0 skuteczność socjotechniki jeszcze bardziej się zwiększyła. Bardzo wielu użytkowników komputerów pokochało społeczności internetowe, więc przyzwyczailiśmy się już do otrzymywania wiadomości e-mail, w których ktoś twierdzi, że chciałby zostać naszym „przyjacielem” lub „znajomym" i że teraz nas będzie „obserwował". Atakujący wykorzystują ten fakt i opracowują jeszcze bardziej kreatywne i przekonujące sztuczki skłaniające użytkowników do pobrania oprogramowania destrukcyjnego lub ujawnienia poufnych informacji.

Ataki typu „phishing” są doskonałym przykładem zagrożenia opartego na socjotechnice. W pierwszej połowie 2010 r. średnio jedna na około 476 wiadomości e-mail stanowiła formę ataku typu „phishing”. Takie ataki są szczególnie niebezpieczne, ponieważ zupełnie nie zależą od rodzaju używanego systemu operacyjnego. W świecie, który w coraz mniejszym stopniu obraca się wokół komputera, ataki typu „phishing” pozwalają przestępcom internetowym wykorzystywać użytkowników komputerów niezależnie od wybranej przez nich platformy. Przykładowo w lipcu 2010 r. firma Symantec zarejestrowała sfałszowaną witrynę popularnego w Australii usługodawcy internetowego, która służyła do ataków typu „phishing”. Użytkownicy otrzymywali wiadomość e-mail informującą, że usługodawca internetowy nie może zweryfikować kont w związku z ostatnią zmianą danych kontaktowych. Wiadomość zawierała łącze do sfałszowanej witryny, którą użytkownicy mieli odwiedzić w celu potwierdzenia ważnych informacji dotyczących klientów, w tym danych rozliczeniowych, takich jak numery kart kredytowych. W takim przypadku na oszustwo internetowe narażeni są w równej mierze użytkownicy systemów Windows i Mac, a nawet telefonów komórkowych.

Socjotechnika odegrała znaczącą rolę także w niektórych ostatnich głośnych atakach. Przykładowo w ataku niesławnego konia trojańskiego Hydraq skierowanym przeciwko wielu dużym przedsiębiorstwom wykorzystano, przynajmniej w części, wiadomości e-mail oparte na socjotechnice, które były wysyłane do pojedynczej osoby lub małych grup ludzi z tych organizacji. Jeśli użytkownik otworzył destrukcyjne łącze lub załącznik, koń trojański Hydraq instalował się na jego komputerze.