Bezpieczeństwo w Internecie I poł. 2010

Przeczytaj także: Bezpieczeństwo w Internecie: trendy 2010

Prognoza nr 5: Na celowniku atakujących będzie system Windows 7

Firma Microsoft opublikowała już pierwsze poprawki zabezpieczeń nowego systemu operacyjnego. Błędy i niedoskonałości w kodzie komputerowym będą się zdarzały, dopóki będzie go tworzył człowiek, bez względu na to, jak szczegółowe i dokładne testy będą poprzedzały wprowadzenie oprogramowania na rynek. Jednocześnie im bardziej złożony jest taki kod, tym bardziej prawdopodobne, że znajdą się w nim niewykryte luki w zabezpieczeniach. Nowy system operacyjny firmy Microsoft, Windows 7, nie stanowi wyjątku. Gdy zagości na dobre w komputerach w 2010 roku, cyberprzestępcy niewątpliwie odkryją sposoby, jak zaatakować jego użytkowników.

Stan: Wciąż możliwe

Wyjaśnienie: Jak dotąd jesteśmy mile zaskoczeni, ponieważ zarejestrowaliśmy tylko jeden większy atak wykorzystujący lukę w zabezpieczeniach systemu Windows 7. Należy jednak pamiętać, że ta luka znajdowała się we wszystkich obsługiwanych systemach operacyjnych firmy Microsoft. Do ataku wykorzystano oprogramowanie destrukcyjne znane jako Stuxnet. Wykorzystywało ono lukę w zabezpieczeniach związaną z tym, w jaki sposób system Windows obsługuje łącza skrótów. Dystrybucja programu Stuxnet była ograniczona, ale atak był ważny, ponieważ było to pierwsze znane oprogramowanie destrukcyjne, którego celem były systemy SCADA.

Uważamy, że zwiększenie liczby ataków na system Windows 7, który jest jednym z najlepiej sprzedających się systemów operacyjnych firmy Microsoft w historii, jest dopiero przed nami. Jest tak dlatego, że cyberprzestępcy szukają najłatwiejszych i najbardziej opłacalnych celów. W przeglądarkach WWW, aplikacjach innych firm mających łączność z siecią WWW i dodatkach plug-in jest tyle łatwiejszych do wykorzystania błędów, że hakowanie nowego systemu operacyjnego po prostu nie jest preferowaną metodą uzyskiwania dostępu do takich systemów, z jednym wyjątkiem, o którym wspomnieliśmy powyżej.

Prognoza nr 6: Więcej dynamicznie zmieniających się sieci typu „bot”

Niektóre sieci typu „bot”, np. sieć Storm, działają z zastosowaniem techniki Fast flux. Polega ona na ukrywaniu destrukcyjnych i phishingowych witryn internetowych za nieustannie modyfikowaną siecią komputerów, których zabezpieczenia zostały złamane i które podczas ataków służą jako serwery proxy. Wskutek zastosowania połączeń sieciowych typu peer-to-peer, zdecentralizowanego systemu sterowania, opartego na sieci równoważenia obciążenia oraz przekierowań serwerów proxy pierwotna geograficzna lokalizacja sieci typu „bot” jest trudna do wykrycia. Ponieważ środki prewencyjne skierowane przeciwko tradycyjnym sieciom typu „bot” zmniejszają ich skuteczność, należy spodziewać się szerszego zastosowania tej techniki do przeprowadzania ataków.

Stan: Wciąż możliwe

Wyjaśnienie: W tym roku jeszcze nie zarejestrowaliśmy żadnego ważnego i nowego zagrożenia wykorzystującego technikę Fast flux. Mamy nadzieję, że ten stan zostanie utrzymany, ale przed nami jest jeszcze druga połowa roku. Zauważyliśmy jednak, że odrodziła się stara sieć korzystająca z techniki Fast flux. Sieć typu „bot” o nazwie Storm niedawno ponownie stała się główną siecią tego rodzaju i nadal używa techniki Fast flux do ukrywania domen witryn internetowych związanych z hiperłączami rozsyłanymi w spamie.

Zarejestrowano także wzrost liczby zagrożeń takich jak Spakrab, który jest koniem trojańskim wykorzystującym mechanizm „tylnego wejścia” i zwykle używanym do rozsyłania spamu. To zagrożenie używa technik kamuflażu podobnych w skutkach do Fast flux, np. maskowania lokalizacji geograficznej serwera wysyłającego polecenia i sprawującego kontrolę poprzez wykorzystanie dynamicznych usług DNS. Dynamiczna usługa DNS jest bezpłatna, łatwa do skonfigurowania i umożliwia atakującym wykorzystanie zainfekowanych komputerów niemających statycznych adresów IP do utrudnienia namierzenia ich fizycznej lokalizacji.

Niezależnie od tego, czy zagrożenie używa Fast flux czy innych, podobnych technik, jeśli nie można namierzyć lokalizacji geograficznej zagrożenia, powstrzymanie ataku staje się dużo trudniejsze. Widać więc, dlaczego te metody są tak popularne wśród przestępców internetowych.