Ryzykowny Internet - nowy raport ISS

Przeczytaj także: Agent Smith. Android pod ostrzałem nowego wirusa

Firma Internet Security Systems (ISS) opublikowała raport IRIS (Internet Risk Impact Summary) za IV kwartał 2002 roku na temat ryzyka związanego z wykorzystywaniem Internetu.

Raport ujawnia, że w tym czasie wykryto 101 nowych hybryd internetowych (hybrid threats) i robaków komputerowych (dla porównania, w pierwszych trzech kwartałach ISS zaobserwowała 393 techniki ataków tego rodzaju).

Chociaż IV kwartał reprezentuje 28-procentowy spadek w ilości nowych technik ataków pomiędzy Q3 i Q4, zauważono jednak znaczne wydłużenie okresu ich aktywności.

Badanie dostarcza głębszy wgląd w zagadnienie, które X-Force nazywa czynnikiem złożonego ryzyka - Compound Risk Factor (CRF). Czynnik ten odzwierciedla ukryte zagrożenia stworzone przez ataki komputerowe, które kontynuują swoje działanie destrukcyjne jeszcze długo po pierwotnie dokonanym akcie zniszczenia.

Raport zawiera informacje na temat wzmożonej działalności cyberterrorystycznej motywowanej względami politycznymi oraz ideologicznymi (hacktivism). Tego typu ataki stają się coraz bardziej realnym zagrożeniem.

W 2002 roku zaobserwowano zwiększoną ilość ataków na rządowe systemy informatyczne USA (ponad 6000 prób ataków), Wielkiej Brytanii i Izraela, a także Rosji. Chociaż ogólna ilość ataków o podłożu ideologicznym zakończonych sukcesem była minimalna, jednak ich istnienie pozwala przypuszczać, że zagrożenia tego rodzaju będą wzrastać w 2003 roku.

"Z badań przeprowadzonych na szerokim spektrum zagrożeń oraz monitorowania ataków na podstawie globalnej bazy informacji pochodzącej z monitorowanych urządzeń, możemy stwierdzić, że ryzyko związane z wykorzystaniem Internetu w 2003 roku będzie wciąż wzrastać.
W ostatnich dwóch kwartałach zaobserwowaliśmy nowe niebezpieczne zjawisko – przejścia od ataków komputerowych na pojedyncze punkty do ataków na dużą skalę oddziałujących na systemy informatyczne o krytycznym znaczeniu.
To zjawisko, w połączeniu z brakiem odpowiednich zabezpieczeń i wiedzy w zakresie ochrony systemów w firmach, środowiskach rządowych i wśród użytkowników domowych pozwala przypuszczać, że robaki komputerowe i hybrydy internetowe będą się nadal rozprzestrzeniać, a czas ich aktywności będzie coraz dłuższy." - powiedział Chris Rouland, dyrektor działającej w ramach Internet Security Systems organizacji X-Force™, która zajmuje się badaniami i usługami konsultingowymi związanymi z bezpieczeństwem w Internecie.

Podsumowanie ustaleń raportu

• Zagrożenia hybrydowe posiadające możliwość masowego rozprzestrzeniania się konsekwentnie atakują systemy informatyczne, a okres ich aktywności jest coraz dłuższy i mierzy się go w miesiącach, a nie w tygodniach czy dniach.

• Wiele hybryd internetowych atakuje równocześnie te same luki w zabezpieczeniach. To nowe zjawisko, w przeciwieństwie do przeszłości, kiedy hybrydy rozprzestrzeniały się zwykle wieloma niezależnymi drogami.

• Twórcy robaków komputerowych rozpowszechniają kody źródłowe, które umożliwiają członkom podziemia hakerskiego szybko tworzyć ich nowe mutacje; efektem tych działań jest zwiększona częstotliwość ataków. Np. w przeciągu 20 dni pojawiły się w internecie cztery warianty robaka Linux.Slapper.

• Najnowsze ataki są skoncentrowane wokół krytycznych elementów systemów informatycznych i pozostawiają znacznie większe zniszczenia niż kilka lat temu. Przykładem może być zmasowany atak na 13 serwerów DNS w USA z 21 października ubiegłego roku.

Dodatkowe ustalenia raportu

• Liczba ataków: W okresie objętym raportem (od 28 września do 31 grudnia 2002 roku) firma ISS zanotowała 16 601 734 alarmów i 1 867 przypadków naruszenia bezpieczeństwa. W porównaniu z III kwartałem, kiedy zarejestrowano 16 342 620 alarmów i 1 385 przypadków naruszenia bezpieczeństwa, oznacza to niewielki wzrost. Średnio 23 proc. ataków nastąpiło podczas weekendów; najwięcej ataków w przeciągu kwartału miało miejsce we wtorki – średnio 198 322.

• Źródła ataków: Najwięcej ataków dokonywanych jest z Ameryki Północnej (82,53 proc.), Azji (7.36 proc.) i Europy (5.57 proc.).

• Luki w zabezpieczeniach: W IV kwartale 2002 roku X-Force wykryła i udokumentowała 644 nowe luki w zabezpieczeniach, wśród których 179 reprezentowało wysoki poziom zagrożenia, 327 – średni, a 138 – niski. Najczęściej występującymi lukami w zabezpieczeniach są wciąż nieszczelności typu przepełnienie bufora w serwerach (buffer overflows) i mogą być wykorzystywane do uzyskania nieautoryzowanego dostępu. Najwyższy poziom ryzyka charakteryzuje te, które pozwalają na zdalny dostęp, wykonywanie poleceń, uruchamianie programów lub uzyskanie wyższego poziomu przywilejów. Przykładami są: przepełnienie bufora, ataki typu backdoor, brak hasła zabezpieczającego lub ustawienie hasła domyślnego, łatwego do odgadnięcia, omijanie tradycyjnych barier ochronnych takich, jak zapory ogniowe czy inne komponenty sieciowe. W IV kwartale 2002 roku ISS wykryła 347 luk w komercyjnym oprogramowaniu i 291 w oprogramowaniu open source, włączając Linux, BSD, skrypty cgi i php.

• Poziom ryzyka wg wskaźników AlertCon™: W IV kwartale 2002 ISS X-Force sygnalizował poziom AlertCon 1 przez 79 dni oraz AlertCon 2 przez 16 dni. Nie zaobserwowano symptomów zagrożenia prowadzących do ogłoszenia poziomów AlertCon 3 lub AlertCon 4, które są dedykowane dla najbardziej bezwzględnych ataków.

ISS monitoruje systemy wykrywania intruzów RealSecure™ zainstalowanych w sieciach swoich klientów poprzez 5 Centrów Operacyjnych (Security Operations Centers) działających na 3 kontynentach w systemie 24 godziny na dobę przez 7 dni tygodnia.

Informacje są gromadzone i analizowane w Światowym Centrum Operacyjnym Zagrożeń (Global Threat Operations Center) firmy ISS w Atlancie. Dodatkowe informacje pochodzą z firewalli monitorowanych w SOC, badań prowadzonych przez na zlecenie klientów korporacyjnych, badań firmy X-Force oraz kontaktów z przedstawicielami przemysłu, rządu, szkół wyższych oraz mediów.

X-Force firmy Internet Security Systems to światowa organizacja złożona z ekspertów od bezpieczeństwa, prowadząca badania w tej dziedzinie. Firma zajmuje się również ostrzeganiem przez zagrożeniami, szkoleniami oraz kształtowaniem opinii publicznej w sprawach związanych z atakami w Internecie.

X-Force rozpoznaje i ocenia ryzyko związane z komunikacją przez Internet oraz lukami w zabezpieczeniach, a także mierzy stopień ich szkodliwości. X-Force monitoruje również incydenty związane z bezpieczeństwem, udostępniając najlepsze na świecie, zarządzane usługi ochrony.

Usługi zabezpieczające X-Force obejmują także usługi doradcze i specjalistyczne, oferowane przez Internet Security Systems, takie jak ocena stanu bezpieczeństwa, testy penetracyjne i usługi natychmiastowego reagowania.

Wyniki badań X-Force, a także zalecenia techniczne, strategie ochrony oraz inne ostrzeżenia i porady dla branży są udostępniane za pośrednictwem prowadzonego firmę Internet Security Systems interaktywnego centrum bezpieczeństwa.