Ewolucja złośliwego oprogramowania 2010

Przeczytaj także: Złośliwe oprogramowanie. Ransomware uderza w dyski NAS

Wszystko to, o czym pisaliśmy wyżej, odnosi się również do platformy Android. Zidentyfikowano szkodliwe oprogramowanie dla Androida o wyraźnie cyberprzestępczym charakterze, które wykorzystuje popularną technikę stosowaną przez trojany dla telefonów komórkowych, a polegającą na wysyłaniu SMS-ów na numery o podwyższonej opłacie. Trojan-SMS.AndroidOS.FakePlayer został wykryty przez firmę Kaspersky Lab we wrześniu 2010 roku, stając się pierwszym prawdziwym przykładem szkodliwego oprogramowania dla Androida – najwyraźniej stworzonym przez rosyjskich twórców wirusów. Szkodnik ten był rozprzestrzeniany bardziej za pośrednictwem zainfekowanych stron internetowych niż sklepu Android Market. Niepokoi nas fakt, że wiele legalnych aplikacji może prosić o i uzyskać dostęp do osobistych danych użytkownika, jak również o pozwolenie na wysyłanie SMS-ów i wykonywanie połączeń telefonicznych. Według nas podważa to wiarygodność całej koncepcji bezpieczeństwa Androida.

Na tym kończymy podsumowanie naszych prognoz oraz rozliczenie ich. Teraz przyjrzymy się niektórym trendom oraz konkretnym incydentom, które miały znaczący wpływ na obszar bezpieczeństwa IT w 2010 r.

Ukierunkowane ataki na korporacje i przedsiębiorstwa przemysłowe

Atak znany jako Aurora dotknął wiele dużych firm zlokalizowanych na całym świecie, łącznie z firmą Google, która była uważana za jego główny cel. Incydent ten wydobył na światło dzienne poważne luki i ujawnił potencjalne cele osób atakujących, które obejmowały cyberszpiegostwo oraz kradzież poufnych danych handlowych. Przyszłe ataki ukierunkowane będą prawdopodobnie miały podobne cele.

Historia Stuxneta, o którym wspomnieliśmy powyżej, jest niezwykła z dwóch względów. Po pierwsze, poziom wyrafinowania tego szkodnika pobił wszystkie wcześniejsze rekordy, po drugie, stworzono go z myślą o atakach na programowalne sterowniki logiczne (ang. PLS). PLC to komercyjne urządzenia sterujące zwykle znajdujące zastosowanie w przemyśle. Jak dotąd jest to pierwszy przypadek przemysłowego cybersabotażu, który zyskał tak wielki rozgłos. Tego rodzaju ataki mogą wyrządzić znaczące szkody fizyczne. Prowokują również do zastanowienia się nad przyszłością świata cybernetycznego. W zawiązku z zanikiem granicy pomiędzy światem wirtualnym a realnym powstają nowe problemy, z którymi w niedalekiej przyszłości będzie musiała się zmierzyć cała społeczność cybernetyczna.

Certyfikaty cyfrowe

Cyfrowe certyfikaty i podpisy to jedne z filarów, na których opiera się pewność i gwarancja w świecie komputerowym. Naturalnie cyfrowe podpisy odgrywają ważną rolę w rozwoju produktów bezpieczeństwa: pliki podpisane przez zaufanych producentów są uważane jako „czyste”. Technologia ta pomaga producentom produktów bezpieczeństwa zmniejszyć współczynnik fałszywych trafień i oszczędzić zasoby podczas skanowania komputerów użytkowników w celu wykrycia infekcji.

Wydarzenia z 2010 roku pokazały, że cyberprzestępcy potrafią legalnie uzyskać certyfikaty cyfrowe - tak jak każdy producent oprogramowania. W jednym przypadku uzyskano certyfikat dla programu, który udawał “oprogramowanie do zdalnego zarządzania komputerami nieposiadającymi interfejsu graficznego”, podczas gdy w rzeczywistości program ten był backdoorem. Sztuczka ta jest niezwykle przydatna dla cyberprzestępców, ponieważ uniemożliwia wykrycie szkodliwego oprogramowania, i najczęściej jest wykorzystywana w oprogramowaniu adware, riskware oraz fałszywych programach antywirusowych. Po uzyskaniu klucza certyfikatu cyberprzestępca może łatwo wyposażyć każdy stworzony przez siebie szkodliwy program w podpis cyfrowy.

W efekcie cała koncepcja certyfikatów oprogramowania jako metody zapewnienia cyberbezpieczeństwa została poważnie podważona. Może to mieć dalsze konsekwencje w postaci zdyskredytowania niektórych centrów certyfikacji cyfrowej, których liczba wynosi obecnie kilkaset. W najgorszym przypadku mogą wyłonić się centra certyfikacji kontrolowane przez samych cyberprzestępców.

Certyfikat cyfrowy, lub mówiąc technicznie, zawarty w nim klucz prywatności, to fizyczny plik, który potencjalnie może zostać skradziony, podobnie jak każdy inny zasób cyfrowy. Wykryte komponenty Stuxneta zostały podpisane certyfikatami wydanymi dla Realtec Semiconductors oraz JMicron. Nie wiadomo, jak klucz prywatności wpadł w ręce cyberprzestępców. Mogło to się zdarzyć na kilka sposobów. Cyberprzestępcy mogli zdobyć te pliki, kupując je nielegalnie od tzw. „insiderów”, czyli osób znajdujących się wewnątrz firmy, lub kradnąc przy użyciu backdoora lub podobnego szkodnika. Do takiej kradzieży certyfikatów byłby zdolny na przykład Zbot, znany również jako ZeuS.