Kaspersky Security Bulletin 2006: Ataki internetowe
Dyrektor dzia艂u R&D, Kaspersky Lab Romania
- Ewolucja szkodliwego oprogramowania
- Szkodliwe programy dla system贸w uniksowych
- Mobilne szkodliwe programy
- Ataki internetowe
- Spam w 2006 roku
Ta cz臋艣膰 rocznego raportu Kaspersky Lab jest podsumowaniem dotycz膮cym atak贸w i sond wychwyconych przez sie膰 Smallpot w 2006 roku. W naszym poprzednim artykule obejmuj膮cym pierwsz膮 po艂ow臋 2006 r. zwr贸cili艣my uwag臋 na znaczne zwi臋kszenie liczby atak贸w pochodz膮cych ze Stan贸w Zjednoczonych. Wi臋kszo艣膰 z nich powsta艂o w celu uzyskania korzy艣ci finansowych i wykorzystuje znane luki do infekowania komputer贸w spambotami i instalowania serwer贸w trojan-proxy.
W raporcie przyjrzymy si臋 najbardziej rozprzestrzenionym atakom z 2006 roku oraz ich geograficznemu pochodzeniu. Informacje te zostan膮 por贸wnane z danymi z 2005 roku. Raport zawiera tak偶e prognoz臋 na bie偶膮cy rok.
20 najpopularniejszych sond i atak贸w internetowych 2006 roku
Pozycja | Udzia艂 procentowy | Rodzaj | Nazwa | Dokumentacja | Zmiana pozycji (2005) |
1 | 34,29 | sonda | HTTP GET Generic | — | — |
2 | 16,38 | sonda | MSSQL login | — | +4 |
3 | 8,54 | robak | Slammer.a | MS02-039 | +1 |
4 | 6,51 | sonda | FTP anonymous login | — | +15 |
5 | 6,19 | exploit | Buffer Overrun in Microsoft RPC Interface | MS03-026 | +5 |
6 | 4,08 | sonda | Radmin | — | -4 |
7 | 3,59 | sonda | SSH Bruteforce Password Crack | — | +1 |
8 | 3,30 | exploit | MS_ASN1 | MS04-007 | +1 |
9 | 3,00 | sonda | Webdav | MS03-007 | -4 |
10 | 2,78 | sonda | Blaster (wraz z modyfikacjami) | MS03-026 | +2 |
11 | 2,22 | sonda | HTTP CONNECT | — | +4 |
12 | 2,07 | robak | Lupper (wraz z modyfikacjami) | CVE-2005-1921, CVE-2005-0116, CVE-2005-1950 | Nowo艣膰 |
13 | 0,50 | exploit | WINS | MS04-045 | +5 |
14 | 0,22 | exploit | Microsoft SQL Server 2000 Resolution Service | MS02-039 | -7 |
15 | 0,19 | sonda | CGI-BIN probe | — | Nowo艣膰 |
16 | 0,18 | robak | Dabber | — | — |
17 | 0,13 | robak | Rbot/Agobot via Webdav exploit | MS03-007 | — |
18 | 0,10 | sonda | HTTP POST back | — | Nowo艣膰 |
19 | 0,09 | sonda | Dipnet | — | -16 |
20 | 0,09 | sonda | Kuang backdoor execute command | — | Nowo艣膰 |
W por贸wnaniu z 2005 rokiem liczba sond HTTP GET Generic wzros艂a o 2%, lecz jest mniejsza ni偶 w pierwszej po艂owie 2006 roku. Mo偶e to oznacza膰, 偶e spamerzy doszli ju偶 do punktu nasycenia i wysy艂aj膮 tak du偶o spamu przez otwarte serwery proxy, jak to tylko jest mo偶liwe. Nie ma ju偶 wi臋cej otwartych serwer贸w proxy, kt贸re mogliby wykorzysta膰. Niewielkie wahania w liczbie sond dla tej us艂ugi zwi膮zane s膮 z pojawianiem si臋 i znikaniem nowych szkodliwych program贸w, a w szczeg贸lno艣ci szkodnik贸w, kt贸re instaluj膮 pirackie, darmowe lub zhakowane serwery proxy na atakowanych systemach.
Z drugiej strony, wzrost (nie mniejszy ni偶 12%) liczby sond wyszukuj膮cych serwery MSSQL pozwoli艂 im na awans o cztery pozycje w naszym zestawieniu. Mo偶na to wyt艂umaczy膰 na kilka sposob贸w. Po pierwsze, boty z nies艂awnych rodzin Rbot oraz Agobot s膮 na tyle skomplikowane, 偶e zawieraj膮 exploity dla niemal ka偶dej znanej luki. Ponadto, pojawienie si臋 bot贸w o otwartym kodzie poskutkowa艂o powstaniem wielu nowych rodzin, kt贸re r贸wnie偶 zawieraj膮 te exploity. R贸偶ni膮 si臋 one nieznacznie od bot贸w wspomnianych powy偶ej. Ostatecznie, pojawia si臋 coraz wi臋cej aplikacji atakuj膮cych strony internetowe. Mimo 偶e ulubion膮 platform膮 cyberprzest臋pc贸w jest AMP (Linux, Apache, MySQL, PHP), MSSQL tak偶e staje si臋 coraz popularniejszym celem atak贸w. Oczywi艣cie, w wielu z tych system贸w wyeliminowano wi臋kszo艣膰 luk wraz z kolejnymi aktualizacjami, jednak s艂abe has艂o administratora mo偶e zosta膰 wykorzystane do przeprowadzenia ataku niezale偶nie od wersji serwera.
Mimo s臋dziwego (jak na szkodliwe oprogramowanie) wieku czterech lat, Slammer w dalszym ci膮gu aktywnie si臋 rozprzestrzenia. Ma艂o tego, szkodnik ten zdo艂a艂 wspi膮膰 si臋 o jedno miejsce w naszym zestawieniu i nic nie wskazuje na to, aby jego aktywno艣膰 mia艂a ulec zmniejszeniu. Jak ju偶 wspominali艣my w poprzednich raportach, Slammer aktywnie korzysta z ca艂ych hord zainfekowanych komputer贸w w Azji i innych cz臋艣ciach 艣wiata.
Anonimowe pr贸by logowania si臋 do serwer贸w FTP przeskoczy艂y w zestawieniu do g贸ry o rekordowe 15 pozycji i wyl膮dowa艂y na czwartym miejscu. Sta艂y si臋 one mniej powszechne w drugiej po艂owie 2006 roku i mo偶na dostrzec przes艂anki wskazuj膮ce na dalszy spadek ich liczby w nadchodz膮cych kilku miesi膮cach. S膮 one g艂贸wnie wykorzystywane do wyszukiwania otwartych serwer贸w, kt贸re cz臋sto s艂u偶膮 do przechowywania szkodliwych program贸w lub pirackiego oprogramowania (tzw. "warez贸w"). Serwery FTP z pewno艣ci膮 nie s膮 najwydajniejsz膮 form膮 rozprzestrzeniania i dlatego inne systemy, takie jak BitTorrent czy Hamachi, staj膮 si臋 coraz popularniejsze w komputerowym podziemiu.
Nies艂awny exploit polegaj膮cy na przepe艂nieniu bufora w interfejsie Microsoft RPC zanotowa艂 wzrost o pi臋膰 pozycji w por贸wnaniu z 2005 rokiem. Jednocze艣nie, og贸lny stopie艅 jego rozpowszechnienia znacznie zmniejszy艂 si臋 w drugiej po艂owie 2006 roku. Jest to stosunkowo stara luka (usuni臋ta ju偶 w 2003 roku) i bez w膮tpienia exploit ten b臋dzie dalej traci艂 na popularno艣ci, staj膮c si臋 docelowo jedynie cz臋艣ci膮 szumu internetowego.
Liczebno艣膰 Radmina, drugiej co do popularno艣ci sondy w 2005 roku, znacznie si臋 zmniejszy艂a. Co interesuj膮ce, liczba ta wzros艂a w drugiej po艂owie 2006 roku. Mo偶e to by膰 spowodowane du偶膮 liczb膮 exploit贸w i bibliotek pozwalaj膮cych na ich tworzenie kr膮偶膮cych w Internecie.
Na popularno艣ci zyska艂a tak偶e metoda si艂owego 艂amania hase艂 Secure Shell - wzrost o jedn膮 pozycj臋 w por贸wnaniu z rokiem 2005. Warto podkre艣li膰, 偶e og贸lnie si艂owe 艂amanie s艂abych hase艂 staje si臋 coraz popularniejsze. Patrz膮c na uwag臋 jak膮 giganci na rynku oprogramowania, tacy jak Microsoft, przyk艂adaj膮 do kwestii bezpiecze艅stwa, nale偶a艂o si臋 spodziewa膰, 偶e cyberprzest臋pcy zaczn膮 si臋 skupia膰 na ludziach - najs艂abszym ogniwie w 艂a艅cuchu bezpiecze艅stwa.
Exploity dla luki Microsoft ASN.1 s膮 obecnie wykorzystywane niemal wy艂膮cznie w botach, wraz z kilkoma innymi exploitami atakuj膮cymi stosunkowo stare luki. Na przyk艂ad, luka WebDAV, opisana w biuletynie Microsoft Security Bulletin MS03-007, jest o rok starsza od luki ASN.1 a jej popularno艣膰 jest niewiele mniejsza.
Robak Blaster (kt贸ry wraz ze swoimi modyfikacjami znalaz艂 si臋 w 2005 roku na 12 miejscu naszego zestawienia) zdo艂a艂 przeskoczy膰 o dwie pozycje w g贸r臋. Robak ten nie wywo艂uje wielu infekcji, jednak jego obecno艣膰 w Sieci nie zmniejsza si臋 w du偶ym tempie. Z ca艂膮 pewno艣ci膮 szkodnik ten d艂ugo jeszcze b臋dzie stanowi艂 znaczn膮 cz臋艣膰 szumu internetowego. Warto wspomnie膰, 偶e Microsoft dostarcza narz臋dzie usuwaj膮ce z systemu Blastera poprzez mechanizm Windows Update. Wynika z tego wniosek, 偶e maszyny, kt贸re s膮 w dalszym ci膮gu zainfekowane Blasterem prawdopodobnie dzia艂aj膮 pod kontrol膮 starych wersji systemu Windows (na przyk艂ad, NT 4), kt贸re nie posiadaj膮 mechanizmu automatycznej aktualizacji. Z ciekawo艣ci膮 b臋dziemy obserwowa膰 sytuacj臋 po wprowadzeniu na rynek najnowszego systemu Microsoftu - Windows Vista. Z du偶ym prawdopodobie艅stwem stare systemy b臋d膮 uaktualniane do nowszych wersji Windowsa (dzi臋ki spadkowi ceny), a mo偶e nawet bezpo艣rednio do Visty.
Sonda HTTP CONNECT r贸wnie偶 zanotowa艂a znaczny wzrost - o cztery miejsca w por贸wnaniu z 2005 rokiem. Z uwagi na to, 偶e jest to alternatywna metoda wyszukiwania otwartych serwer贸w proxy, wzrost jej popularno艣ci (zaobserwowany ju偶 w drugiej po艂owie 2006 roku) z ca艂膮 pewno艣ci膮 b臋dzie si臋 utrzymywa艂.
Robak Lupper wraz ze swoimi modyfikacjami praktycznie wymar艂, lecz jego aktywno艣膰 by艂a wyra藕nie widoczna w pierwszych dw贸ch miesi膮cach 2006 roku. Lupper udowodni艂 nie tylko to, 偶e robaki dla platform innych ni偶 Windows mog膮 si臋 szeroko rozprzestrzenia膰, ale tak偶e, 偶e mog膮 to robi膰 ca艂kiem szybko. Ostatnie doniesienie o aktywno艣ci Luppera otrzymali艣my w czerwcu 2006 roku.
Aktywno艣膰 exploit贸w WINS wzros艂a nieznacznie. Wzrost ten jest prawdopodobnie spowodowany obecno艣ci膮 r贸偶nych robak贸w, kt贸re zawieraj膮 te oraz setki innych exploit贸w.
Interesuj膮ce jest pi臋tnaste miejsce zestawienia - sondy CGI-BIN. Obserwowali艣my ju偶 te sondy w przesz艂o艣ci, jednak ich aktywno艣膰 znacznie wzros艂a w 2006 roku. Sk膮d bior膮 si臋 te sondy? Niekt贸re z nich s膮 zwi膮zane z aktywno艣ci膮 robak贸w wykorzystuj膮cych te same skrypty, co Lupper i jego modyfikacje, podczas gdy inne s膮 generowane przez r贸偶ne narz臋dzia hakerskie.
Kolejnym interesuj膮cym rezydentem zestawienia s膮 sondy HTTP POST back. Podejmuj膮 one pr贸by inicjowania po艂膮czenia (najcz臋艣ciej na porcie 16667, 6667 lub 6660) z maszyn膮, z kt贸rej po艂膮czenie by艂o pierwotnie nawi膮zywane. Na komputerach tych znajduje si臋 us艂uga rejestruj膮ca wszystkie po艂膮czenia. W ten spos贸b sonda okre艣la, czy ma do czynienia z otwartym serwerem proxy.
Podsumowuj膮c nasze obserwacje z 2006 roku widzimy dwa wyra藕ne trendy. Po pierwsze, stare exploity staj膮 si臋 cz臋艣ci膮 szumu internetowego i s膮 najcz臋艣ciej wykorzystywane przez boty. Po drugie, mimo 偶e pojawi艂y si臋 nowe luki i s膮 one wykorzystywane w zdalnych atakach internetowych, uwaga cyberprzest臋pc贸w wydaje si臋 koncentrowa膰 na wyszukiwaniu i 艂amaniu serwer贸w (takich jak SSH czy MSSQL), kt贸re s膮 zabezpieczone s艂abymi has艂ami.
10 najpopularniejszych luk wykorzystywanych w atakach internetowych
Pod wzgl臋dem luk wykorzystywanych w atakach internetowych rok 2006 wyr贸偶nia si臋 od poprzednich lat. Wynika to przede wszystkim ze zwi臋kszenia si臋 liczby exploit贸w wykrytych dla system贸w operacyjnych i produkt贸w stworzonych przez firmy inne ni偶 Microsoft. Jednak, w drugiej po艂owie 2006 roku zaobserwowali艣my znaczny spadek liczby takich exploit贸w, co z kolei zwi膮zane jest z wygini臋ciem robaka Lupper odpowiedzialnego za ataki na platformy inne ni偶 Windows.
Interesuj膮ce jest zwi臋kszenie zainteresowania cyberprzest臋pc贸w atakami na serwery MSSQL. Z tego powodu luki, kt贸re zajmowa艂y pierwsze i drugie miejsce w raporcie z pierwszej po艂owy 2006 roku zamieni艂y si臋 miejscami z atakami wykorzystuj膮cymi luk臋 opisan膮 w biuletynie Microsoft Security Bulletin MS02-039, kt贸re s膮 teraz najpopularniejsze.
Podobnie jak w poprzednim raporcie, 偶adna z luk wykrytych w 2006 roku nie znalaz艂a si臋 w pierwszej dziesi膮tce.
20 najpopularniejszych port贸w wykorzystywanych w atakach internetowych
Pozycja | Udzia艂 procentowy | Port |
1 | 32,28 | 445 |
2 | 24,94 | 1026 (UDP) |
3 | 12,59 | 1433 |
4 | 12,35 | 80 |
5 | 4,80 | 1027 (UDP) |
6 | 2,31 | 1434 (UDP) |
7 | 1,89 | 1025 (UDP) |
8 | 1,51 | 135 |
9 | 1,42 | 21 |
10 | 0,86 | 4899 |
11 | 0,76 | 22 |
12 | 0,68 | 3128 |
13 | 0,40 | 4444 |
14 | 0,26 | 6588 |
15 | 0,14 | 42 |
16 | 0,10 | 443 |
17 | 0,08 | 5554 |
18 | 0,07 | 3127 |
19 | 0,02 | 17300 |
20 | 0,02 | 6129 |
W 2006 roku obserwowali艣my znaczne zwi臋kszenie liczby po艂膮cze艅 nawi膮zywanych na porcie 1433, kt贸ry jest powszechnie wykorzystywany przez MSSQL. Prze艂om ten nast膮pi艂 w drugiej po艂owie roku - wzrost z 1,68% do 12,59% wszystkich atakowanych port贸w. Jednak, wi臋kszo艣膰 atak贸w i sond w dalszym ci膮gu wykorzystuje port 445, kt贸ry w najnowszych wersjach system贸w Windows jest u偶ywany do wsp贸艂dzielenia plik贸w i drukarek (SMB) poprzez TCP.
Porty 1025, 1026 oraz 1027 s膮 wykorzystywane przez us艂ug臋 Windows Messenger i w dalszym ci膮gu s膮 cz臋sto wybierane przez spamer贸w. Us艂uga ta (nie nale偶y jej myli膰 z komunikatorem MSN Messenger) jest domy艣lnie wy艂膮czona w systemach Windows XP SP2 i nowszych. Nie powstrzymuje to jednak spamer贸w, kt贸rzy dalej wysy艂aj膮 swoje pakiety.
Port 80, wykorzystywany przez po艂膮czenia HTTP, ci膮gle znajduje si臋 na czwartym miejscu. Najwi臋cej po艂膮cze艅 na porcie 80 generuj膮 spamerzy szukaj膮cy otwartych serwer贸w proxy. Ataki takie najcz臋艣ciej zaczynaj膮 si臋 od podmiany strony g艂贸wnej (index.html), po czym nast臋puje pr贸ba podmiany ca艂ej zdalnej strony. Ponadto, za du偶膮 liczb臋 po艂膮cze艅 na porcie 80 s膮 tak偶e odpowiedzialne silniki wyszukiwania stron WWW. Na przyk艂ad, Googlebot potrzebowa艂 zaledwie sze艣ciu godzin na zlokalizowanie w Internecie nowego honeypota Kaspersky Lab (komputera badaj膮cego obecno艣膰 atak贸w i szkodliwego kodu w ruchu internetowym).
Popularno艣膰 portu 21, wzrastaj膮ca przez sze艣膰 pierwszych miesi臋cy 2006 roku, zmniejszy艂a si臋 w ci膮gu ostatnich kilku miesi臋cy. Wygl膮da na to, 偶e cyberprzest臋pcy znale藕li bardziej wydajny spos贸b dystrybuowania szkodliwego oprogramowania lub dotar艂o do nich, 偶e serwery FTP nie s膮 dla nich najlepszym rozwi膮zaniem.
Rozk艂ad geograficzny atak贸w i sond internetowych
Pozycja | Kraj | Udzia艂 procentowy |
1 | USA | 35,63 |
2 | Chiny | 21,73 |
3 | Niemcy | 2,85 |
4 | Ukraina | 2,84 |
5 | W艂ochy | 2,51 |
6 | Filipiny | 2,41 |
7 | Rosja | 2,26 |
8 | Kanada | 2,15 |
9 | Arabia Saudyjska | 1,97 |
10 | Korea | 1,78 |
11 | Francja | 1,67 |
12 | Japonia | 1,57 |
13 | Holandia | 1,53 |
14 | Wielka Brytania | 1,51 |
15 | Hong Kong | 1,28 |
16 | Tajwan | 1,16 |
17 | Belgia | 1,13 |
18 | Szwecja | 1,00 |
19 | Izrael | 0,86 |
20 | Hiszpania | 0,62 |
W ci膮gu ostatnich trzech lat Chiny i Stany Zjednoczone walczy艂y o w膮tpliwy zaszczyt przodowania w zestawieniu ?Rozk艂ad geograficzny atak贸w i sond internetowych". W 2004 roku Stany Zjednoczone by艂y numerem jeden, w 2005 roku najcz臋艣ciej atakowane by艂y Chiny (27,38% wszystkich atak贸w na ca艂ym 艣wiecie). W pierwszej po艂owie 2006 roku w USA zarejestrowano ponad 40% wszystkich atak贸w. Jednak, w drugiej po艂owie roku sytuacja ponownie uleg艂a zmianie.
Obecnie liczba atak贸w pochodz膮cych z USA maleje i Chiny ponownie wychodz膮 na prowadzenie, notuj膮c wzrost z 17% w pierwszej po艂owie ubieg艂ego roku do 21,73% w ca艂ym roku 2006. Wzrost ten by艂 szczeg贸lnie widoczny w ostatnich kilku miesi膮cach roku.
Interesuj膮c膮 pozycj膮 na li艣cie jest Arabia Saudyjska, kt贸ra jest odpowiedzialna za 1,97% wszystkich atak贸w. Warto tak偶e wspomnie膰 o Ukrainie, kt贸ra pojawi艂a si臋 w zestawieniu po raz pierwszy zajmuj膮c od razu czwarte miejsce. Nowo艣ci膮 jest tak偶e Izrael wchodz膮cy do listy na 19 miejscu.
Liczba atak贸w pochodz膮cych z Niemiec i Filipin znacznie spad艂a. W przesz艂o艣ci kraje te by艂y 藕r贸d艂em niezliczonych atak贸w, zatem mi艂o jest obserwowa膰 tak膮 popraw臋 sytuacji.
Wa偶ne 艂aty i pakiety service pack
W 2006 roku Microsoft opublikowa艂 78 biuletyn贸w bezpiecze艅stwa opisuj膮cych r贸偶ne luki. Wi臋kszo艣膰 z tych luk znajduje si臋 w systemach Windows, jednak pewne b艂臋dy w zabezpieczeniach zosta艂y tak偶e wykryte w pakiecie Office i innych produktach.
Niekt贸re z tych biuletyn贸w, takie jak MS06-070 (Vulnerability in Workstation Service Could Allow Remote Code Execution (924270)) oraz MS06-040 (Vulnerability in Server Service Could Allow Remote Code Execution (921883)), opisuj膮 luki, kt贸re mog膮 zosta膰 wykorzystane bezpo艣rednio przez Internet, jednak nie zarejestrowano 偶adnych atak贸w przeprowadzanych za ich po艣rednictwem. Powodem mo偶e by膰 zg艂oszenie tych luk Microsoftowi przez firmy zajmuj膮ce si臋 wyszukiwaniem b艂臋d贸w w oprogramowaniu i z tego powodu exploity nigdy nie zosta艂y upublicznione. Innym mo偶liwym wyt艂umaczeniem mo偶e by膰 to, 偶e wi臋kszo艣膰 maszyn, do kt贸rych mo偶na uzyska膰 dost臋p przez Internet (na przyk艂ad, komputery bez zapory ogniowej) dzia艂a pod kontrol膮 starych wersji system贸w Windows, kt贸re s膮 podatne na inne, znacznie prostsze do przeprowadzenia ataki.
Og贸lnie, liczba luk wykrytych w 2006 roku w produktach Microsoftu i wykorzystywanych bezpo艣rednio poprzez Internet jest bardzo ma艂a. Nie bierzemy tutaj pod uwag臋 luk, kt贸re mo偶na wykorzysta膰 zdalnie lecz wymagaj膮 bezpo艣redniej interakcji u偶ytkownika. Ten typ luk by艂 masowo wykorzystywany w ci膮gu 2006 roku i dlatego zostan膮 one om贸wione w najbli偶szej przysz艂o艣ci w oddzielnym raporcie. Luki takie opisano w biuletynach MS06-078 (Vulnerability in Windows Media Format Could Allow Remote Code Execution (923689)), MS06-071 (Vulnerability in Microsoft XML Core Services Could Allow Remote Code Execution (928088)) oraz MS06-062 (Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)).
Jak zawsze, mo偶na u偶y膰 przegl膮darki Internet Explorer do wej艣cia na stron臋 http://update.microsoft.com i uaktualni膰 dziurawy system. Nie nale偶y zapomina膰 o aktualizacji pakietu Office - wiele z luk wykrytych w 2006 roku wyst臋puje w jego modu艂ach, a w szczeg贸lno艣ci w programach Word oraz PowerPoint.
W 2006 roku wykryto szereg powa偶nych luk w systemach Linux, z kt贸rych wi臋kszo艣膰 zwi膮zana jest bezpo艣rednio z j膮drem tego systemu operacyjnego. Niekt贸re z tych luk pozwalaj膮 na przeprowadzanie atak贸w DoS na nieza艂atane komputery, inne umo偶liwiaj膮 zmian臋 uprawnie艅 na wy偶sze. Warto podkre艣li膰, 偶e wsp贸艂czesne dystrybucje Linuksa instaluj膮 r贸偶ne inne pakiety oprogramowania, w zwi膮zku z czym w wielu przypadkach luk tych nie mo偶na w 100% nazwa膰 "linuksowymi". Na przyk艂ad, na pocz膮tku 2007 roku zg艂oszono powa偶n膮 luk臋 w systemie pocztowym sendmail, kt贸ry nie jest domy艣lnie instalowany w wi臋kszo艣ci nowoczesnych dystrybucji Linuksa. Jednak, w wi臋kszo艣ci atak贸w przeprowadzanych w 2006 roku na systemy linuksowe wykorzystywane by艂y luki istniej膮ce w takich w艂a艣nie dodatkowych pakietach oprogramowania. Na przyk艂ad, w maju 2006 roku wykryto luk臋 w popularnym programie wykorzystywanym do blogowania - WordPress. Luka pozwala na wykonanie kodu na dziurawej maszynie. Mimo 偶e WordPress nie jest domy艣lnie instalowany w wi臋kszo艣ci dystrybucji Linuksa, jest to bardzo popularny program i wiele firm hostingowych za艂膮cza go do swoich pakiet贸w. Eksperci z bran偶y ochrony IT nieustannie powtarzaj膮, 偶e bezpiecze艅stwo jest jak 艂a艅cuch a 艂a艅cuch jest tak wytrzyma艂y, jak silne jest jego najs艂absze ogniwo.
Poza odpowiednim zabezpieczeniem i ograniczeniem dost臋pu do us艂ug z zewn膮trz, nale偶y o pobieraniu aktualizacji. Uaktualnianie system贸w Linux (i og贸lnie system贸w uniksowych) jest tak samo wa偶ne, jak w przypadku system贸w Windows. Dzi臋ki narz臋dziom takim jak 'yum? oraz 'apt? aktualizacja jest szybka i prosta.
W roku 2006 ujawniono tak偶e szereg luk dla systemu MacOS X, z kt贸rych pewne pozwalaj膮 na wykonanie dowolnego kodu na nieza艂atanym komputerze. 呕adna z nich nie zosta艂a wykorzystana do przeprowadzenia ataku (a przynajmniej nie pojawi艂y si臋 偶adne doniesienia, kt贸re mog艂yby to potwierdzi膰), a firma Apple bardzo szybko opublikowa艂a odpowiednie uaktualnienia. Ponadto, dobr膮 cech膮 systemu MacOS X jest domy艣lnie w艂膮czona automatyczna aktualizacja. Dzi臋ki temu nieza艂atane maszyny z jab艂kiem na obudowie s膮 rzadko艣ci膮 w Internecie.
Podsumowanie
Analiza danych z 2006 roku ujawni艂a dwa g艂贸wne trendy w ewolucji atak贸w przeprowadzanych przez Internet.
Pierwszy trend to sta艂y "szum internetowy" generowany przez robaka Slammer i armie bot贸w wykorzystuj膮cych stosunkowo stare luki. Wi臋kszo艣膰 tych maszyn znajduje si臋 w Azji i nic nie wskazuje na ich szybkie znikni臋cie. Szum ten generuje obecnie oko艂o 15% ruchu sieciowego, co nie jest szczeg贸lnie wysok膮 warto艣ci膮 (mo偶na j膮 por贸wna膰 z udzia艂em spamu w ruchu sieciowym w roku 1999). Mo偶na przypuszcza膰, 偶e wraz z pojawieniem si臋 nowych system贸w operacyjnych liczba starszych i dziurawych system贸w ulegnie zmniejszeniu. Doprowadzi艂oby to tak偶e do przyt艂umienia szumu internetowego. By艂oby wysoce niefortunne, gdyby obj臋to艣膰 szumu internetowego wzros艂a do poziomu, jaki obecnie osi膮ga spam. Korzystanie z Internetu sk艂adaj膮cego si臋 w 90% z szumu by艂by nie tylko uci膮偶liwe - by艂oby po prostu niemo偶liwe.
Drugi trend jest znacznie bardziej istotny z punktu widzenia ewolucji Internetu. Wraz ze wzrostem zainteresowania producent贸w oprogramowania kwesti膮 bezpiecze艅stwa i zwi臋kszeniem szybko艣ci publikowania 艂at liczba nowych luk, kt贸re mo偶na wykorzysta膰 bezpo艣rednio przez Internet bardzo szybko maleje. Wi臋kszo艣膰 nowych dystrybucji Linuksa wyposa偶ona jest w mechanizmy automatycznej aktualizacji. Po pojawieniu si臋 b艂臋du system operacyjny automatycznie pobierze i zainstaluje odpowiedni膮 艂at臋. U偶ytkownik mo偶e o tym nawet nie wiedzie膰. To samo dotyczy Microsoftu, kt贸ry dok艂ada wszelkich stara艅 do zapewnienia efektywno艣ci mechanizmu Windows Update. Dzia艂ania te wymusi艂y u cyberprzest臋pc贸w zmian臋 podej艣cia do atak贸w przeprowadzanych przez Internet. Efekty tych zmian b臋dziemy z ca艂膮 pewno艣ci膮 obserwowa膰 w nieodleg艂ej przysz艂o艣ci. Ju偶 teraz cyberprzest臋pcy skupiaj膮 si臋 na atakowaniu system贸w chronionych s艂abymi has艂ami. 艢wiadczy o tym wzrost liczby atak贸w na us艂ugi MSSQL, SSH, FTP i inne polegaj膮cych na si艂owym 艂amaniu hase艂.
Spadek liczby luk, kt贸re mog膮 zosta膰 wykorzystane zdalnie przez Internet zaowocowa艂 tak偶e innym trendem: cyberprzest臋pcy zacz臋li wykorzystywa膰 metody przeprowadzania atak贸w w oparciu o strony WWW. W takim przypadku u偶ytkownik musi odwiedzi膰 szkodliw膮 stron臋 WWW, aby atak m贸g艂 zosta膰 przeprowadzony, jednak to nie powstrzymuje cyberprzest臋pc贸w przed korzystaniem z tej techniki. W rzeczywisto艣ci, liczba atak贸w wykorzystuj膮cych strony WWW wzros艂a tak bardzo, 偶e jest to obecnie preferowana metoda dostarczania szkodliwego kodu. Ju偶 wkr贸tce opublikujemy kolejny raport, w kt贸rym ataki takie zostan膮 om贸wione szczeg贸艂owo.
Je偶eli chodzi o zapobieganie atakom, rozwi膮zanie jest ca艂kiem proste. Podczas gdy nie mo偶na nic poradzi膰 na szum internetowy, istnieje prosty spos贸b zapobiegania atakom, kt贸rych celem jest uzyskanie dost臋pu do us艂ug "widocznych" z Internetu i chronionych wy艂膮cznie has艂ami. Nale偶y zadba膰 o to, aby ka偶da z tych us艂ug posiada艂a dodatkow膮 kontrol臋 dost臋pu (poza has艂em): us艂ugi takie powinny wykorzystywa膰 metody wymuszaj膮ce przynajmniej dwustopniowe uwierzytelnianie. Dla SSH mo偶na wy艂膮czy膰 uwierzytelnianie w oparciu o has艂o i u偶ywa膰 kluczy publicznych chronionych przez lokalne has艂a. Serwer FTP mo偶na zast膮pi膰 serwerem SFTP a do dost臋pu do stron WWW mo偶na u偶ywa膰 protoko艂u SSL oraz certyfikat贸w u偶ytkownik贸w. Niestety, dwustopniowe uwierzytelnianie dla MSSQL mo偶e stanowi膰 problem, dla kt贸rego chwilowo nie istnieje 偶adne proste rozwi膮zanie. Jednak, mo偶na zadba膰 o to, aby do serwer贸w SQL mog艂y mie膰 dost臋p wy艂膮cznie uwierzytelnione komputery (wystarczy odfiltrowa膰 ca艂y "艣wiat zewn臋trzny" przy u偶yciu zapory ogniowej).
Gdyby te proste czynno艣ci zosta艂y wykonane przez wszystkie osoby odpowiedzialne za sieci komputerowe, Internet sta艂by si臋 znacznie bezpieczniejszym miejscem dla wszystkich. Korzy艣ci s膮 oczywiste.
殴r贸d艂o:![]() |