Gdy branża komputerowa zaczynała się rozwijać, nikt nie przypuszczał, że w stosunkowo niedługim czasie komputer będzie można znaleźć w każdym domu. Obecnie wiele osób powierza tym maszynom własne finanse, prywatną korespondencję i wiele innych rzeczy.

Następnie w lawinowym tempie wzrastała liczba użytkowników, którzy przenosili biznes do Internetu, co doprowadziło do gwałtownego wzrostu liczby serwisów internetowych. Wydawałoby się, że użytkownicy Internetu mają wszystko, o czym mogli tylko marzyć. Jednak pojawienie się cyberprzestępców, którzy ciągle szukają sposobności oszukania niczego niepodejrzewających użytkowników, zmieniło wszystko.

• CyberprzestÄ™pcy kontra firmy z branży bezpieczeÅ„stwa IT
  • Opozycja bierna
  • Opozycja czynna
• CyberprzestÄ™pcy kontra inne firmy
• CyberprzestÄ™pcy kontra rzÄ…d
• Wnioski

Cyberprzestępczość stała się integralną częścią Internetu. Błyskawicznie rośnie rynek złośliwego oprogramowania. Nieznane wcześniej złośliwe programy mnożą się w coraz szybszym tempie, co pokazuje rysunek 1.

Rys. 1: Wzrost liczby złośliwych programów.
Źródło: Kaspersky Lab

Wcześniej, gdy złośliwe programy tworzyli studenci w wolnych chwilach firmy antywirusowe mogły bez trudu odpierać ich ataki. Jednak z każdym rokiem stawało się to coraz trudniejsze. W niedalekiej przyszłości firmy z branży bezpieczeństwa IT nadal będą w stanie do pewnego stopnia eliminować złośliwe programy, spam i inne przejawy cyberprzestępczości, których liczba nieustannie wzrasta. Obecnie nie chodzi już o to, czy cyberprzestępczość można całkowicie pokonać, ale w jakim stopniu można zahamować jej ewolucję.

Motorem w tej zaciekłej konfrontacji jest użytkownik, będący źródłem dochodów przestępców. Według szacunków różnych organizacji, wpływy z cyberprzestępczości obecnie znacznie przewyższają dochody branży antywirusowej. Wojna toczy się na dobre.

W artykule tym została zanalizowana obecna sytuacja - jakie działania podejmują cyberprzestępcy, aby pokrzyżować wysiłki firm z branży bezpieczeństwa IT i kto może mieć wpływ na rozwój cyberprzestępczości w przewidywanej przyszłości.

Cyberprzestępcy kontra firmy z branży bezpieczeństwa IT

Firmy z branży bezpieczeństwa IT stanowią obecnie główną - praktycznie jedyną - siłę zdolną do podjęcia skutecznych działań przeciwko cyberprzestępcom. Złośliwi użytkownicy nieustannie znajdują nowe i lepsze sposoby ominięcia najnowszych technologii, co motywuje branżę bezpieczeństwa IT do opracowywania nowych metod ochrony. Konflikt między branżą bezpieczeństwa a cyberprzestępcami przebiega w szczególny sposób; cyberprzestępcy nie zawsze od razu reagują na nowe technologie bezpieczeństwa, każda z nich poddawana jest skrupulatnemu testowi na "wytrzymałość".

Jasno widać to na przykładzie firmy Blue Security i jej projektu Blue Frog, który na początku uznano za skuteczne narzędzie walki ze spamem. Z początku wszystko szło dobrze - niektórzy użytkownicy Blue Frog odnotowali 25% spadek ilości otrzymywanej niechcianej korespondencji. Rok później projekt zaczął stanowić ogromny problem dla spamerów, co ostatecznie doprowadziło do jego klęski: po serii ataków DDoS Blue Frog został zamknięty.

Branża antywirusowa też nie ma łatwo. Działalność cyberprzestępcza przybiera różne formy, od stosunkowo mało istotnych zagrożeń, które łatwo można zwalczyć, po złożone, przeprowadzane na dużą skalę ataki na rozwiązania antywirusowe.

Przykłady zagrożeń spowodowanych mniejszymi atakami:

• Autorzy robaka Bagle Å›ledzili próby firm antywirusowych odwiedzania wykorzystywanej przez szkodnika strony WWW i umieszczali na niej niezainfekowany plik. OznaczaÅ‚o to, że firmy antywirusowe nie mogÅ‚y uzyskać ani zanalizować zÅ‚oÅ›liwego "dzieÅ‚a" tego autora, a w konsekwencji nie mogÅ‚y dodać jego sygnatury do antywirusowych baz danych. Gdy jednak odsyÅ‚acz otwieraÅ‚ zwykÅ‚y użytkownik, na jego komputer pobieraÅ‚ siÄ™ zÅ‚oÅ›liwy kod.
• Autorzy trojana Trojan-PSW.Win32.LdPinch nieustannie Å›ledzÄ… aktywność zapory ogniowej. Gdy wyÅ›wietlane jest ostrzeżenie z zapytaniem, czy należy zezwolić czy nie na aktywność aplikacji zwiÄ…zanej z trojanem, trojan sam z siebie "klika" TAK.
• Regularnie cyberprzestÄ™pcy lub inni zÅ‚oÅ›liwi użytkownicy masowo wysyÅ‚ajÄ… zÅ‚oÅ›liwe programy w "przebraniu" aktualizacji firm antywirusowych. Celem tych dziaÅ‚aÅ„ jest zdyskredytowanie tych firm.

Nie pojawiło się nic nowego jeśli chodzi o złożone podejście do zwalczania rozwiązań antywirusowych. Stosowane obecnie metody można podzielić na dwie kategorie:

• opozycja bierna;
• opozycja czynna.

Opozycja bierna

Opozycja bierna obejmuje metody utrudniające analizowanie i/lub wykrywanie złośliwej zawartości. W tym celu można zastosować różne podejścia (dynamiczne generatory kodu, polimorfizm itd.), jednak w większości przypadków autorzy złośliwych programów nie wkładają wiele czasu czy wysiłku w opracowywanie tego typu mechanizmów. Stosują o wiele prostsze rozwiązanie: tak zwane kompresory. Są to narzędzia wykorzystujące wyspecjalizowane algorytmy w celu zakodowania określonego programu wykonywalnego przy jednoczesnym zachowaniu jego funkcjonalności. Użycie kompresora znacznie ułatwia zadanie złośliwemu użytkownikowi: aby program antywirusowy nie mógł wykryć znanego złośliwego programu, autor nie musi już pisać go od nowa - cała jego praca sprowadza się do przepakowania go przy pomocy kompresora, który nie jest znany programowi antywirusowemu. Rezultat jest taki sam, koszty - znacznie niższe.

Jak wspomniano wyżej, w ten sposób spakowana jest większość złośliwych plików wykonywalnych. Rysunek 2 pokazuje liczbę spakowanych złośliwych programów w porównaniu z całkowicie nowymi.

Rys. 2: Wzrost liczby spakowanych próbek.
Źródło: Kaspersky Lab

Ciągły wzrost udziału spakowanych próbek w ogólnej liczbie nowych, wcześniej nieznanych złośliwych programów świadczy o tym, że złośliwi użytkownicy przekonani są o skuteczności stosowania kompresorów.

Oczywiście nie ma sensu stosowanie kompresorów, które są już wykrywane przez programy antywirusowe - w rezultacie produkt antywirusowy przechwyci oryginalny złośliwy kod. Dlatego obecnie cyberprzestępcy coraz częściej wykorzystują kompresory, które nie są znane branży antywirusowej; takie kompresory rozpowszechniane są jako kompresory "standardowe", zmodyfikowane lub przerobione przez samych autorów. Wzrost liczby nowych złośliwych programów spakowanych za pomocą kompresorów, które nie są rozpoznawane przez oprogramowanie Kaspersky Anti-Virus pokazuje rysunek 2.

Ostatnio pojawia się coraz więcej tzw. "sandwichów", złośliwych programów spakowanych przy użyciu kilku kompresorów jednocześnie w nadziei, że programy antywirusowe nie będą w stanie wykryć przynajmniej jednego kompresora. Wzrost użycia "sandwichów" w stosunku do liczby nowych spakowanych złośliwych programów pokazuje rysunek 3.

Rys. 3: Wzrost udziału "sandwichów" w całkowitej liczbie nowych spakowanych próbek.
Źródło: Kaspersky Lab

Wirtualne maszyny i emulatory skutecznie analizują spakowany złośliwy kod. Gdy zrozumieli to twórcy wirusów, zaczęli tworzyć więcej złośliwych programów wykorzystujących kod, który zwalcza technologie antywirusowe. Z kolei firmy antywirusowe odpowiedziały bardziej wyrafinowanymi technologiami, co jeszcze bardziej "nakręciło" spiralę.

Opozycja czynna

Rys. 4: Wzrost liczby nowych modyfikacji złośliwych programów, które aktywnie zwalczają rozwiązania bezpieczeństwa.
Źródło: Kaspersky Lab

Zwiększająca się w coraz szybszym tempie liczba nowych złośliwych programów (rys. 1) występuje w parze ze wzrostem całkowitej liczby złośliwych programów, które aktywnie zwalczają rozwiązania antywirusowe. Przede wszystkim, wiąże się to z wykorzystywaniem przez twórców wirusów technologii rootkit w celu zwiększenia "długości życia" wirusa w zainfekowanym systemie: jeśli złośliwy program posiada zdolności ukrywania się, istnieje większe prawdopodobieństwo, że nie zostanie dodany do sygnatur zagrożeń firm antywirusowych.

Wcześniej celem twórców wirusów była garstka rozwiązań antywirusowych. Obecnie bez trudu można znaleźć złośliwe programy, które zwalczają tuziny - jeśli nie setki - rozwiązań bezpieczeństwa.

Mimo wysiłków cyberprzestępców firmy antywirusowe stosunkowo szybko opracowują i wdrażają mechanizmy bezpieczeństwa, które już teraz zahamowały wzrost liczby złośliwych programów zwalczających rozwiązania antywirusowe. Poza tym, firmy te implementują również technologie służące do wykrywania i usuwania rootkitów.

Odpowiedzią cyberprzestępców są złośliwe programy z wbudowanymi sterownikami: do eliminowania rozwiązania antywirusowego wykorzystywany jest kod działający w trybie jądra, który posiada prawa umożliwiające mu kontrolowanie systemu. Przykładem takiego złośliwego oprogramowania jest Email-Worm.Win32.Bagle.gr.

Cyberprzestępcy atakują również na innych frontach. Na przykład, aby utrudnić życie firmom antywirusowym autorzy robaka Warezov coraz szybciej wypuszczają modyfikacje swojego "dzieła".

Zmniejsza się również czas, jaki mija od opublikowania odpowiedniej łaty na lukę do pojawienia się eksploitu - o czym doskonale wiedzą cyberprzestępcy. Złośliwe programy nieustannie ewoluują i przenoszą się do nowych środowisk.

Natomiast jeśli chcielibyśmy wymienić sukcesy branży antywirusowej - jednym z nich jest spadek zainteresowania twórców wirusów ruchem pocztowym. Cyberprzestępcy uważają teraz, że rozprzestrzenianie złośliwych programów za pośrednictwem poczty elektronicznej - wcześniej popularna metoda - jest nieefektywne. Różnica polega na tym, że obecnie złośliwy kod można szybko wykryć i zablokować, nawet zanim jeszcze zostanie przeprowadzona masowa wysyłka. Mimo to złośliwi użytkownicy nie zamierzają się poddawać i już teraz w coraz większym stopniu wykorzystują strony www w celu rozprzestrzeniania złośliwych programów.

Cyberprzestępczość wywiera coraz większą presję na firmy z branży bezpieczeństwa IT. Wzrost nielegalnych dochodów pozwala cyberprzestępcom na angażowanie wysoko wyspecjalizowanych wspólników i opracowywanie nowych technologii ataków. W ciągu następnych kilku lat firmy z branży bezpieczeństwa IT będą w stanie wykorzystać wszystkie swoje zasoby do zmniejszenia presji wywieranej przez złośliwych użytkowników, jednak będzie to coraz trudniejsze. Co stanie się potem - czas pokaże.

Cyberprzestępcy kontra inne firmy

Firmy, które niedawno jeszcze były ofiarami - celami nieustannych ataków zarówno na ich infrastrukturę, jak i klientów - zaczęły teraz "pokazywać pazurki". Można powiedzieć, że rok 2004 i 2005 to okres, w którym miała miejsce całkowita kryminalizacja Internetu, a liczba nowych wirusów wzrosła w lawinowym tempie. Jednak w 2006 roku firmy zaczęły zdawać sobie sprawę z problemu, jaki stanowi cyberprzestępczość.

Przykładem są organizacje finansowe, które zaczęły samodzielnie podejmować działania, aby udaremnić aktywność cyberprzestępców. W zeszłym roku banki na całym świecie wprowadziły różne metody w celu zapewnienia bezpieczniejszej rejestracji - od jednorazowych haseł po uwierzytelnianie biometryczne. Znacznie utrudniło to złośliwym użytkownikom tworzenie nowych wirusów atakujących sektor finansowy.

Coraz częściej oprogramowanie "powiadamia" online o nowych łatach, jednak złośliwi użytkownicy reagują o wiele szybciej na takie powiadomienia niż zwykli użytkownicy. Czas reakcji twórców oprogramowania na opublikowanie nowych łat również stopniowo się zmniejsza.

Cyberprzestępcy kontra rząd

Rządy posiadają najszersze i najpotężniejsze środki umożliwiające zwalczanie cyberprzestępczości, mimo to są najwolniej działającymi uczestnikami wojny przeciwko cyberprzestępczości. Czas, gdy sytuację można było jeszcze opanować, dawno już minął.

Przestępczość w Internecie stała się tak szeroko rozpowszechniona, że władze nie dysponują wystarczającymi zasobami, aby zająć się większą liczbą popełnianych przestępstw. Organom ścigania bardzo trudno jest pracować w warunkach, gdy przestępstwa nie są ograniczane granicami narodowymi (złośliwi użytkownicy mogą utrzymywać serwer w jednym kraju, atakować użytkowników w innym, natomiast fizycznie znajdować się w jeszcze innym). Co więcej, infrastruktura Internetu pozwala cyberprzestępcom działać z ogromną szybkością, a przy tym zachować anonimowość.

Ponadto, system rządowy działa bardzo powoli. Mnóstwo cennego czasu zabiera proces decyzyjny oraz osiągnięcie porozumienia na różnych poziomach. Zanim agencja rządowa obejmie dochodzeniem określonych cyberprzestępców, zdążą już zmienić swoją pierwotną fizyczną lokalizację oraz serwis hostingowy, który wykorzystali więcej niż jeden raz.

Obecnie struktury rządowe bardziej przypominają ofiary cyberprzestępczości niż struktury zwalczające cyberprzestępczość. Na potwierdzenie można przytoczyć wiele przykładów, z których wiele nagłośniły media:

• Prawie każdy wiÄ™kszy polityczny konflikt miÄ™dzynarodowy zostaje przeniesiony do Internetu, przeradzajÄ…c siÄ™ w konflikt miÄ™dzy cyberprzestÄ™pcami ze skłóconych krajów. Efektem tego mogÄ… być wÅ‚amania na rzÄ…dowe strony internetowe. Przypadek taki miaÅ‚ miejsce pod koniec 2005 roku, gdy debata polityczna dotyczÄ…ca wÅ‚asnoÅ›ci terytoriów poÅ‚owów ryb wywoÅ‚aÅ‚a konflikt pomiÄ™dzy zÅ‚oÅ›liwymi użytkownikami w Peru i Chile. PodobnÄ… eskalacjÄ™ spowodowaÅ‚ konflikt libaÅ„sko-izraelski, gdy co tydzieÅ„ atakowane byÅ‚y tuziny izraelskich, libaÅ„skich czy amerykaÅ„skich stron internetowych. Sytuacja patowa pomiÄ™dzy cyberwandalami w Japonii i Chinach oraz w Stanach Zjednoczonych i Chinach trwa już od pewnego czasu. Prawie wszystkie incydenty "skompromitowania" rzÄ…dowych stron internetowych spowodowane konfliktami na tle stosunków miÄ™dzynarodowych uchodzÄ… bezkarnie.
• Gdy zÅ‚oÅ›liwi użytkownicy sÄ… niezadowoleni z dziaÅ‚aÅ„ jakiegoÅ› rzÄ…du, czÄ™sto przeprowadzajÄ… na takie paÅ„stwo ataki DDoS lub innego typu szkodliwe dziaÅ‚ania. Incydent taki miaÅ‚ miejsce jesieniÄ… 2006 roku, gdy na stronÄ™ internetowÄ… japoÅ„skiego Ministerstwa Spraw Zagranicznych przeprowadzono atak jako protest przeciwko oficjalnej wizycie do Å›wiÄ…tyni "bojowników". Ten sam los spotkaÅ‚ również strony internetowe rzÄ…du Szwecji na poczÄ…tku lata 2006 roku, które zostaÅ‚y zaatakowane w ramach protestu przeciwko dziaÅ‚aÅ„ antypirackich tego kraju.
• Struktury rzÄ…dowe czÄ™sto uznawane sÄ… za źródÅ‚o zastrzeżonych informacji, które można sprzedać na czarnym rynku za spore pieniÄ…dze lub wykorzystać do przeprowadzenia ataków. PrzykÅ‚adem może być RusFinMonitoring (rosyjski serwis monitorujÄ…cy finanse), który rejestruje jednorazowe transakcje przekraczajÄ…ce 20 000 dolarów. WedÅ‚ug zastÄ™pcy szefa tej agencji, hakerzy codziennie próbowali uzyskać dostÄ™p do jej systemu komputerowego, aby zdobyć nowe informacje o klientach banków.

Zdając sobie sprawę, że cyberprzestępczość stanowi poważne i szeroko rozpowszechnione zjawisko, władze próbują walczyć z tym problemem. Chociaż agencje rządowe nie działają zbyt szybko, podjęły następujące kroki:

• W celu uÅ‚atwienia interakcji i przyspieszenia czasu reakcji organy Å›cigania różnych paÅ„stw próbujÄ… stworzyć cyber-Interpol;
• Latem 2006 roku podczas regionalnego Forum ASEAN podjÄ™to decyzjÄ™ o stworzeniu wspólnej sieci w celu zgÅ‚aszania przestÄ™pstw dotyczÄ…cych komputerów oraz rozpowszechniania zaleceÅ„ dotyczÄ…cych przeciwdziaÅ‚ania cyberprzestÄ™pczoÅ›ci i innych istotnych informacji;
• Latem 2006 roku amerykaÅ„ski senat ratyfikowaÅ‚ decyzjÄ™ o przystÄ…pieniu do europejskiego porozumienia o zwalczaniu cyberprzestÄ™pczoÅ›ci, które zostaÅ‚o już podpisane przez kilkadziesiÄ…t paÅ„stw;
• Wiele paÅ„stw rozważa propozycje zaostrzenia obowiÄ…zujÄ…cego prawodawstwa (Rosja, Wielka Brytania i inne).

Według urzędników rządowych, podjęte dotychczas działania mają duże znaczenie w walce z cyberprzestępczością oraz terroryzmem i pozwolą organom ścigania na szybsze rozpracowywanie spraw związanych z cyberprzestępczością. Oczywiście wymaga to czasu; na razie cyberprzestępcy ledwie zauważają, że ktoś na szczeblu rządowym próbuje udaremnić ich wysiłki. Taka reakcja - lub raczej jej brak - może wynikać z faktu, że złośliwi użytkownicy całkowicie ignorują poczynania rządu. Podjęte do tej pory działania zaledwie dotknęły problemu. Pozytywnym aspektem jest to, że rządowa machina w końcu ruszyła i obrała dobry kierunek.

Wnioski

Obecnie jedynie firmy z branży bezpieczeństwa IT są w stanie walczyć z cyberprzestępczością. Jednak sytuacja pogarsza się - w coraz szybszym tempie. Zapewnienie bezpieczeństwa staje się z roku na rok trudniejsze.

Cyberprzestępczość staje się coraz bardziej zorganizowana i skonsolidowana. Niestety, współpraca po naszej stronie nie jest wystarczająca. Firmy antywirusowe, rząd i inne firmy nie są chętne do wymieniania się informacjami, w efekcie czego często tracony jest cenny czas, co utrudnia prowadzenie dochodzeń w sprawie cyberprzestępstw oraz wprowadzenie egzekucji odpowiednich zarządzeń.

Bez wątpienia nadal istnieje szansa naprawienia sytuacji, jednak wymaga to wspólnych działań. Oprócz opracowywania i udostępniania nowych technologii bezpieczeństwa, tylko zjednoczony front z aktywnym udziałem wszystkich zaangażowanych w walkę z cyberprzestępczością może coś zmienić.

Źródło: Kaspersky Lab