Ewolucja z艂o艣liwego oprogramowania: 2005, cz臋艣膰 druga

Yury Mashevsky
Senior Virus Analyst, Kaspersky Lab

Wst臋p

Artyku艂 ten stanowi kontynuacj臋 opublikowanego w lutym raportu na temat ewolucji z艂o艣liwego oprogramowania w 2005 roku. Druga cz臋艣膰 po艣wi臋cona jest ewolucji podziemia przest臋pczego. Tekst zawiera analiz臋 obecnej sytuacji wraz z przyk艂adami i danymi statystycznymi. Skierowany jest przede wszystkim do ekspert贸w z dziedziny bezpiecze艅stwa IT, kt贸rzy specjalizuj膮 si臋 w z艂o艣liwym oprogramowaniu.

Najwa偶niejsze wydarzenia 2005 roku

Zaostrzaj膮ca si臋 rywalizacja

Jednym z najwyra藕niejszych trend贸w 2005 roku by艂 wzrost rywalizacji nie tylko mi臋dzy cyberprzest臋pcami a przemys艂em antywirusowym, ale r贸wnie偶 pomi臋dzy samymi cyberprzest臋pcami. Co wi臋cej, w 2005 roku zwi臋kszy艂a si臋 liczba atak贸w na organizacje rz膮dowe. Wygl膮da na to, 偶e cyberprzest臋pcom nie wystarczaj膮 ju偶 pieni膮dze, kt贸re s膮 w stanie wyci膮gn膮膰 od indywidualnych u偶ytkownik贸w.

Jak nale偶y wyja艣ni膰 ten trend? Od dawna wiadomo ju偶, 偶e min臋艂y czasy, gdy cyberchuligani byli "entuzjastami", kt贸rzy sp臋dzali samotne noce na tworzeniu swoich "dzie艂" w Asemblerze. Szacuje si臋 nawet, 偶e zyski z cyberprzest臋pczo艣ci znacznie przewy偶szaj膮 przychody ca艂ej bran偶y antywirusowej. Cyberprzest臋pcy 艣ledz膮 rozw贸j bran偶y antywirusowej tak samo jak firmy antywirusowe obserwuj膮 poczynania cyberprzest臋pc贸w. Stosuj膮 na przyk艂ad multiskanery (zestaw skaner贸w plik贸w wykorzystywanych przez czo艂owych producent贸w oprogramowania antywirusowego) w celu sprawdzenia, czy nowe modyfikacje istniej膮cych ju偶 z艂o艣liwych program贸w zosta艂y uwzgl臋dnione w antywirusowych bazach danych. Z艂o艣liwe programy wypuszczane s膮 tylko wtedy, gdy rozwi膮zania antywirusowe nie s膮 w stanie ich wykry膰.

Przest臋pcy pr贸buj膮 blokowa膰 ka偶dy etap rozwoju aktualizacji antywirusowych baz danych. Rysunek 1 przedstawia proces rozwoju aktualizacji przed udost臋pnieniem ich ko艅cowym u偶ytkownikom.

Rys. 1: Proces publikowania aktualizacji.
  • Etap 1: Podejrzana zawarto艣膰 zostaje przechwycona w sieci (we wszystkich rodzajach sieci, np. w Internecie, sieci bezprzewodowej itd.). W celu unikni臋cia wykrycia cyberprzest臋pcy stosuj膮 szereg r贸偶nych metod, takich jak identyfikowanie i omijanie w臋z艂贸w sieci, kt贸re gromadz膮 szkodliw膮 zawarto艣膰 oraz przeprowadzanie na nie atak贸w DDoS (powoduje to zablokowanie w臋z艂贸w na czas przeprowadzania atak贸w). Przechwytywanie z艂o艣liwych program贸w utrudnia r贸wnie偶 konieczno艣膰 namierzania masowych wysy艂ek z艂o艣liwych program贸w. Autorzy Bagla, znanego robaka pocztowego, 艣ledz膮 klikanie przez u偶ytkownik贸w odsy艂aczy do stron, na kt贸rych umieszczone zosta艂y najnowsze wersje robaka. Zamiast zainfekowanych plik贸w u偶ytkownicy, kt贸rzy cz臋sto klikaj膮 takie odsy艂acze, otrzymuj膮 komunikaty o b艂臋dzie. Poprzez tworzenie tego typu "czarnych list" szkodliwi u偶ytkownicy utrudniaj膮 firmom i organizacjom antywirusowym 艣ledzenie aktywno艣ci w sieci.
  • Etap 2: Analiza z艂o艣liwego kodu. W tej dziedzinie nie wydarzy艂o si臋 ostatnio nic nowego. Jedyn膮 zmian膮 jest sta艂y spadek popularno艣ci technologii polimorficznych. Obecnie coraz cz臋stsz膮 praktyk膮 jest pakowanie plik贸w wykonywalnych przy u偶yciu r贸偶nych narz臋dzi, dzi臋ki czemu nie s膮 wykrywane przez niekt贸re programy antywirusowe.
  • Etap 3: Opublikowanie uaktualnienia. Jest to jedyny etap, kt贸rego szkodliwi u偶ytkownicy nie potrafi膮 jak dot膮d skutecznie zablokowa膰.
  • Etap 4: Zainstalowanie uaktualnienia przez u偶ytkownika. Z艂o艣liwe programy cz臋sto modyfikuj膮 plik HOSTS w taki spos贸b, 偶e komputer ofiary nie mo偶e po艂膮czy膰 si臋 z serwerem aktualizacji producenta oprogramowania antywirusowego. W rezultacie nie mo偶na uaktualni膰 antywirusowych baz danych.

Po opublikowaniu (etap 4) aktualizacje dost臋pne s膮 nie tylko dla u偶ytkownik贸w ko艅cowych, ale r贸wnie偶 dla cyberprzest臋pc贸w. Wiedz膮c, 偶e ich programy mog膮 by膰 wykryte, cyberprzest臋pcy wypuszczaj膮 nowe modyfikacje.

Do niedawna istnia艂o niewiele grup tw贸rc贸w wirus贸w, kt贸re post臋powa艂y wed艂ug opisanego wy偶ej schematu. Jednak dane pochodz膮ce z 2005 roku wskazuj膮 na 艂膮czenie si臋 istniej膮cych grup i powstawanie nowych. Jest to powa偶ny pow贸d do niepokoju.

Dlaczego cyberprzest臋pcy tak intensywnie zwalczaj膮 bran偶臋 antywirusow膮? Odpowied藕 na to pytanie wydaje si臋 oczywista: w ten spos贸b walcz膮 o swoje utrzymanie, tj. pieni膮dze uzyskane poprzez infekowanie komputer贸w. Z tego samego powodu obserwowali艣my w 2005 roku rosn膮c膮 rywalizacj臋 pomi臋dzy poszczeg贸lnymi tw贸rcami wirus贸w. Jest to kolejny krok w kierunku cyberwojen.

W obr臋bie cybernetycznego podziemia zwalczaj膮 si臋 zar贸wno indywidualni cyberprzest臋pcy jak i grupy, wykorzystuj膮c do tego najr贸偶niejsze metody. Tworz膮 z艂o艣liwe programy, kt贸re niszcz膮 oprogramowanie konkurencyjnych grup, za艂膮czaj膮 pogr贸偶ki wobec innych cyberprzest臋pc贸w, producent贸w oprogramowania antywirusowego, policji czy organ贸w 艣cigania. Przyk艂adem mo偶e by膰 robak Net-Worm.Win32.Lebreat, kt贸ry zawiera艂 gro藕b臋 skierowan膮 do autor贸w robaka Bagle. O zaostrzaniu si臋 rywalizacji mi臋dzy cyberprzest臋pcami 艣wiadczy r贸wnie偶 walka o zasoby zainfekowanych komputer贸w. W listopadzie 2005 roku wykryto pr贸b臋 porwania botnetu. W wyniku dzia艂a艅 konkurencyjnych grup sie膰 zainfekowanych komputer贸w zmieni艂a "w艂a艣ciciela" trzy razy w ci膮gu jednego dnia. Cyberprzest臋pcy zdali sobie spraw臋, 偶e 艂atwiej jest zdoby膰 zainfekowane zasoby ni偶 utrzymywa膰 w艂asne botnety.

艢ledzenie komunikacji cyberprzest臋pc贸w na forach mo偶e by膰 bardzo interesuj膮cym do艣wiadczeniem. Czasami wybuchaj膮 za偶arte wojny, gdy tw贸rcy wirus贸w pr贸buj膮 wcisn膮膰 sobie z艂o艣liwe programy pod postaci膮 generator贸w kluczy czy crack贸w. Na porz膮dku dziennym jest r贸wnie偶 kradzie偶 w艂asno艣ci wirtualnej poprzez zamieszczenie odpowiednio spreparowanych wiadomo艣ci e-mail, kt贸rych otwarcie mo偶e prowadzi膰 do zainfekowania komputera u偶ytkownika. Innymi s艂owy, tw贸rcy wirus贸w wykorzystuj膮 ten sam arsena艂 przeciwko sobie co przeciwko u偶ytkownikom. Wojny na s艂owa mog膮 prowadzi膰 do pogr贸偶ek, atak贸w DDoS itd. Interesuj膮ce jest to, 偶e cyberprzest臋pcy zdaj膮 sobie spraw臋 z zagro偶e艅 wynikaj膮cych z tworzonych przez siebie z艂o艣liwych program贸w i otwarcie dyskutuj膮 o zaletach r贸偶nych rozwi膮za艅 antywirusowych. Wydaj膮 si臋 zapomina膰, 偶e w rzeczywisto艣ci wybieraj膮 najlepsz膮 ochron臋 przed programami napisanymi przez osoby takie jak oni, a wykorzystywane przez nich rozwi膮zania zosta艂y stworzone w celu zapewnienia ochrony przed ich w艂asnymi tworami.

Przest臋pcy nie ograniczaj膮 si臋 ju偶 do atak贸w na indywidualnych u偶ytkownik贸w. W 2005 roku wzros艂a liczba atak贸w na organizacje rz膮dowe w por贸wnaniu z poprzednim rokiem. Osoby, kt贸re je przeprowadza艂y, najwyra藕niej czu艂y si臋 bezkarne. Celem wielu atak贸w by艂y pa艅stwowe banki, portale umo偶liwiaj膮ce handel elektroniczny, wojsko i inne organizacje. We wsp贸艂czesnym 艣wiecie, w kt贸rym gospodarki kraj贸w rozwini臋tych, jak i rozwijaj膮cych si臋, w du偶ym stopniu uzale偶nione s膮 od technologii informatycznych wzrost liczby tego typu atak贸w stanowi powa偶ny pow贸d do niepokoju.

Rz膮dy zaczynaj膮 dostrzega膰 wag臋 tego problemu. W roku 2005 w wi臋kszo艣ci rozwini臋tych kraj贸w odnotowano znaczne post臋py w sposobie reagowania organ贸w 艣cigania na przest臋pstwa cybernetyczne. Poni偶ej przedstawiamy kilka najbardziej znanych przyk艂ad贸w.

  • 26 sierpnia aresztowano dw贸ch autor贸w robaka Zotob (Bozori). Byli nimi osiemnastoletni Maroka艅czyk Farid Essebar i dwudziestojednoletni Turek Atilla Ekici. Stworzony przez nich robak sparali偶owa艂 sieci ABC, CNN, The New York Times i innych firm. Od pojawienia si臋 szkodnika do aresztowania jego autor贸w min臋艂y niespe艂na 2 tygodnie.
  • Dw贸ch Nigeryjczyk贸w zosta艂o skazanych na 37 lat pozbawienia wolno艣ci za wys艂anie wiadomo艣ci typowych dla tzw. oszustwa cztery-jeden-dziewi臋膰 znanego r贸wnie偶 jako "nigeryjski szwindel".
  • Brazylijska policja aresztowa艂a 85 os贸b pod zarzutem kradzie偶y dziesi膮tek milion贸w dolar贸w. Za po艣rednictwem Internetu przest臋pcy ukradli pieni膮dze z kont klient贸w organizacji finansowych.

Mi臋dzynarodowy charakter przest臋pstw cybernetycznych znacznie utrudnia dzia艂anie organ贸w 艣cigania. Coraz cz臋艣ciej obserwuje si臋, 偶e cyberprzest臋pcy dokonuj膮 nielegalnych dzia艂a艅 poza krajem, kt贸ry zamieszkuj膮.

Nale偶y podkre艣li膰, 偶e dzia艂ania podejmowane przez agencje rz膮dowe nie s膮 wystarczaj膮ce. Liczba skutecznych atak贸w przeprowadzanych na zasoby cybernetyczne rz膮d贸w i innych organ贸w znacznie przewy偶sza liczb臋 operacji podejmowanych rz膮dy.

Szybszy czas reakcji

W zwi膮zku z rosn膮c膮 liczb膮 atak贸w tw贸rc贸w wirus贸w na nowych u偶ytkownik贸w kluczowe znaczenie ma obecnie szybko艣膰 reakcji bran偶y antywirusowej. Niestety, jak wynika z naszego badania (rysunek 2), w wi臋kszo艣ci przypadk贸w u偶ytkownicy nie s膮 艣wiadomi powagi sytuacji.

Rys. 2: Rozk艂ad procentowy u偶ytkownik贸w wed艂ug cz臋stotliwo艣ci aktualizacji (w oparciu o ankiet臋 internetow膮 pt.: "Jak cz臋sto pobierasz aktualizacje?")

Z naszej ankiety wynika, 偶e tylko 24% u偶ytkownik贸w aktualizuje swoje rozwi膮zania antywirusowe przynajmniej raz dziennie. Znaj膮c tempo pojawiania si臋 nowych z艂o艣liwych program贸w (patrz rysunek 3), 艂atwo mo偶na oszacowa膰 liczb臋 nowych wpis贸w do antywirusowych baz danych dodawanych w ci膮gu godziny. Tym samym nietrudno jest obliczy膰, jak wiele z艂o艣liwych program贸w mo偶e potencjalnie zainfekowa膰 76% u偶ytkownik贸w, kt贸rzy nie przeprowadzaj膮 codziennej aktualizacji swoich rozwi膮za艅 antywirusowych.

Rys. 3: Fragment listy szkodliwych program贸w dodanych do antywirusowych baz danych Kaspersky Lab 22 wrze艣nia 2005 r. Kliknij obrazek, aby otworzy膰 nowe okno zawieraj膮ce bie偶膮ce dane.

Z wykresu przedstawiaj膮cego liczb臋 nowych wpis贸w dodawanych do antywirusowych baz danych w poszczeg贸lnych latach (rysunek 4) jasno wynika, 偶e wzrost jest raczej lawinowy ni偶 liniowy. Oznacza to, 偶e zwi臋ksza si臋 r贸wnie偶 tempo pojawiania si臋 nowych z艂o艣liwych program贸w.

Rys. 4: Liczba z艂o艣liwych program贸w wykrywanych poszczeg贸lnych latach.

Niestety, bezpiecze艅stwo nie opiera si臋 tylko na szybko艣ci, z jak膮 producenci oprogramowania antywirusowego reaguj膮 na nowe zagro偶enia. U偶ytkownicy musz膮 pami臋ta膰 o instalowaniu 艂at, kt贸re usuwaj膮 luki w zabezpieczeniu systemu operacyjnego i innych wykorzystywanych przez nich programach. Co si臋 stanie, je艣li u偶ytkownicy nie zastosuj膮 si臋 do tych zasad, wyra藕nie wida膰 na przyk艂adzie luki opisanej w biuletynie firmy Microsoft MS05-39. Incydent, jaki mia艂 miejsce w sierpniu 2005 roku, po raz kolejny potwierdzi艂 beztrosk臋 u偶ytkownik贸w i aktywno艣膰 cyberprzest臋pc贸w. Rozw贸j sytuacji przedstawia rysunek 5:

Rys.5: Liczba r贸偶nych rodzaj贸w z艂o艣liwych program贸w wykorzystuj膮cych luk臋 MS05-39 w ci膮gu jednego dnia (sierpie艅 2005 rok)

9 sierpnia 2005 r. Microsoft udost臋pni艂 艂at臋 na wspomnian膮 luk臋. Trzy dni p贸藕niej (12 sierpnia) pojawi艂 si臋 kod typu "proof of concept". Tw贸rcy wirus贸w potrzebowali kolejnych dw贸ch dni na stworzenie pierwszego z艂o艣liwego programu wykorzystuj膮cego luk臋. 14 sierpnia zosta艂 wypuszczony robak Zotob, kt贸ry sparali偶owa艂 sieci kilku du偶ych firm. Powy偶szy wykres ukazuje rozw贸j sytuacji: gwa艂townie wzros艂a liczba z艂o艣liwych program贸w opartych na exploicie Exploit.Win32.MS05-39. Wniosek, jaki mo偶na wysnu膰, jest nast臋puj膮cy: niezw艂oczne instalowanie 艂at jest tak samo istotne jak regularna aktualizacja antywirusowych baz danych. Ma to szczeg贸lne znaczenie w sytuacji, gdy tw贸rcy wirus贸w aktywnie czekaj膮 na pojawianie si臋 nowych exploit贸w typu "proof of concept", kt贸re wykorzystuj膮 krytyczne luki, a ich identyfikacja nieuchronnie prowadzi do wzrostu aktywno艣ci wirus贸w.

G艂贸wnym powodem do niepokoju s膮 exploity "zero-day" wykorzystuj膮ce krytyczne luki. Szybko艣膰, z jak膮 tw贸rcy wirus贸w reaguj膮 na wykrycie nowych luk w zabezpieczeniach, mo偶e doprowadzi膰 do pandemii.

Dlaczego szybko艣膰 reakcji na nowe zagro偶enia ma tak ogromne znaczenie? Z danych wynika, 偶e masowe rozes艂anie z艂o艣liwych program贸w na kilka milion贸w adres贸w przy u偶yciu botneta (sieci zainfekowanych maszyn) zajmuje oko艂o dw贸ch godzin. W rezulatcie, ka偶da dodatkowa minuta mo偶e oznacza膰 tysi膮ce, a nawet setki tysi臋cy potencjalnych, nowych ofiar. Dlatego tak wa偶na jest szybko艣膰 reakcji firm antywirusowych.

Czynnik ludzki

W bezpiecze艅stwie IT ogromne znaczenie ma czynnik ludzki. Przyk艂adem mo偶e by膰 wspomniana wy偶ej luka MS05-39. Wielu z u偶ytkownik贸w nie zainstalowa艂o 艂aty, chocia偶 mia艂o na to a偶 pi臋膰 dni. W niekt贸rych przypadkach zawiod艂y stosowane przez firmy polityki bezpiecze艅stwa lub ich ograniczenia. Jednak wielu u偶ytkownik贸w wykaza艂o si臋 po prostu typowo ludzkimi cechami: beztrosk膮 lub lenistwem.

Kolejny przyk艂ad ma zwi膮zek z robakiem Monikey, kt贸ry rozprzestrzenia艂 si臋 w wiadomo艣ciach e-mail informuj膮cych odbiorc贸w, 偶e kto艣 przesy艂a im kartk臋 elektroniczn膮. Wiadomo艣ci zawiera艂y odsy艂acze do umieszczonego na r贸偶nych stronach kodu robaka. Wielu administrator贸w usun臋艂o kod robaka ze stron www, ale nie zablokowa艂o kana艂贸w wykorzystywanych przez z艂o艣liwe programy do penetrowania stron. W rezultacie, z艂o艣liwe programy powraca艂y na te strony.

Niestety, nieostro偶no艣膰 mo偶na zarzuci膰 nie tylko indywidualnym u偶ytkownikom, ale tak偶e du偶ym korporacjom. W 2005 roku w sprzeda偶y pojawi艂y si臋 legalne produkty zawieraj膮ce z艂o艣liwy kod, takie jak wymienne no艣niki danych, oprogramowanie oparte na technologiach antywirusowych itd. Ciekawy incydent mia艂 miejsce pod koniec 2005 roku, gdy rosyjskie biuro wysy艂aj膮ce rachunki za us艂ugi komunalne poda艂o klientom chc膮cym uregulowa膰 nale偶no艣ci poprzez Internet nieistniej膮c膮 domen臋 himbank.ru. Nie trzeba m贸wi膰, 偶e ka偶dy m贸g艂 zarejestrowa膰 na siebie t臋 domen臋, a nast臋pnie opr贸偶ni膰 elektroniczne portfele niczego niepodejrzewaj膮cych odbiorc贸w rachunk贸w. Z podanego adresu w kr贸tkim czasie pr贸bowa艂o skorzysta膰 kilkuset u偶ytkownik贸w.

W tym miejscu warto om贸wi膰 socjotechnik臋 jako metod臋 stosowan膮 przez tw贸rc贸w wirus贸w do wykorzystywania ludzkich s艂abo艣ci. Tw贸rcy wirus贸w nieustannie poszukuj膮 nowych i coraz bardziej wyrafinowanych sposob贸w, kt贸re pozwol膮 ich tworom na przenikni臋cie do komputer贸w i sieci.

W 2005 roku cyberprzest臋pcy wykorzystali do osi膮gni臋cia swoich cel贸w szereg r贸偶nych tragicznych wydarze艅, a przede wszystkim fakt, 偶e ludzie s膮 偶膮dni szczeg贸艂贸w zwi膮zanych z takimi tragediami. Poni偶ej przedstawiamy kilka przyk艂ad贸w:

  • Po zamachach bombowych w Metrze Londy艅skim, w kt贸rych zgin臋艂o 50 os贸b, u偶ytkownicy zalewani byli wiadomo艣ciami e-mail o tytule "TERROR HITS LONDON", kt贸re kry艂y konia troja艅skiego. Aby u艣pi膰 podejrzenia, wiadomo艣ci informowa艂y, 偶e zosta艂y przeskanowane programem antywirusowym.
  • Doniesienia o wykryciu ptasiej grypy wywo艂a艂y masowe wysy艂ki reklam fa艂szywego leku, kt贸ry by艂 oczywi艣cie bezwarto艣ciowy.
  • Po huraganie Katrina u偶ytkownicy odnajdywali w swych elektronicznych skrzynkach spam zatytu艂owany "Katrina killed as many as 80 people". Same wiadomo艣ci nie zawiera艂y z艂o艣liwego kodu, ich celem by艂o wzbudzenie jak najwi臋kszego zainteresowania tematem. U偶ytkownicy otrzymywali szcz膮tkowe informacje; 偶eby dowiedzie膰 si臋 wi臋cej, mieli klikn膮膰 odsy艂acz "Read more", a to powodowa艂o za艂adowanie na ich komputer z艂o艣liwego kodu.

Naturalnie cyberprzest臋pcy wykorzystuj膮 nie tylko ludzk膮 sk艂onno艣膰 do czytania o wszelkiego typu nieszcz臋艣ciach, ale tak偶e ich zainteresowanie innymi tematami, np. z艂o艣liwymi programami. Sytuacja staje si臋 tak powa偶na, 偶e niekt贸rzy u偶ytkownicy instaluj膮 nawet kilka program贸w antywirusowych. S膮dz膮 oni, 偶e im wi臋cej program贸w antywirusowych, tym wi臋ksza ochrona: je艣li jedno z rozwi膮za艅 pominie jaki艣 z艂o艣liwy program, z pewno艣ci膮 wykryje go drugie, trzecie lub czwarte. Cyberprzest臋pcy 偶eruj膮 na tym b艂臋dnym przekonaniu: wykorzystuj膮 technologie spamowe do dystrybucji z艂o艣liwych program贸w pod postaci膮 oprogramowania antywirusowego znanych producent贸w. Ta metoda infekowania komputer贸w, bazuj膮ca na zaufaniu do firm antywirusowych, w rzeczywisto艣ci podkopuje to zaufanie. U偶ytkownicy cz臋sto nie mog膮 uwierzy膰, 偶e wiadomo艣ci, kt贸re mia艂y pochodzi膰 od firm antywirusowych, w rzeczywisto艣ci zosta艂y wys艂ane przez kogo艣 innego.

Poniewa偶 ataki zawsze poprzedzaj膮 stworzenie ochrony przed nimi, bran偶a antywirusowa nieustannie znajduje si臋 krok za cyberprzest臋pcami. Zapewnianie bezpiecze艅stwa u偶ytkownikom mo偶e by膰 trudne, gdy偶 cz臋sto oni sami nie艣wiadomie pomagaj膮 cyberprzest臋pcom w zainfekowaniu komputer贸w. Firmy antywirusowe nie tylko musz膮 stworzy膰 rozwi膮zania, kt贸re b臋d膮 skutecznie chroni艂y przed zaawansowanymi technicznie metodami penetracji, ale tak偶e u艣wiadamia膰 u偶ytkownik贸w w kwestiach bezpiecze艅stwa. Mimo aktywnych kampanii edukacyjnych wci膮偶 wysoka jest liczba u偶ytkownik贸w, kt贸rzy wykonuj膮 potencjalnie niebezpieczne czynno艣ci, jak na przyk艂ad otwieranie za艂膮cznik贸w od nieznanego nadawcy. Potwierdza to ankieta pt.: "Dlaczego otwierasz podejrzane wiadomo艣ci?" przeprowadzona w艣r贸d u偶ytkownik贸w przez Kaspersky Lab.

Rys. 6: Wyniki ankiety pt.: "Dlaczego otwierasz podejrzane wiadomo艣ci?"

Inne trendy

Nowe technologie

Wci膮偶 powstaj膮 nowe technologie, kt贸re wykorzystywane s膮 zar贸wno przez bran偶臋 IT, jak i cyberprzest臋pc贸w.

Niepokoj膮ce jest nie tylko rosn膮ce tempo pojawiania si臋 nowych "z艂o艣liwych" technologii. Obserwujemy r贸wnie偶 coraz szybsze 艂膮czenie i modyfikowanie istniej膮cych technologii, co prowadzi do skuteczniejszych metod infekcji oraz tworzenia z艂o艣liwego kodu dla nowych platform.

Cyberprzest臋pcy zaczynaj膮 systematycznie atakowa膰 urz膮dzenia przeno艣ne, kt贸re dzia艂aj膮 pod kontrol膮 system贸w operacyjnych posiadaj膮cych pe艂n膮 funkcjonalno艣膰 (np. smartfony, urz膮dzenia PDA itd.). Jednak znaczny wzrost liczby z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych to kwestia przysz艂o艣ci. Dopiero gdy liczba w艂a艣cicieli smartfon贸w, kt贸rzy wykorzystuj膮 te urz膮dzenia do uzyskania dost臋pu do us艂ug p艂atno艣ci elektronicznej, osi膮gnie mas臋 krytyczn膮, stan膮 si臋 oni celem aktywnych atak贸w i 藕r贸d艂em potencjalnego zysku cyberprzest臋pc贸w.

Coraz bardziej przybli偶a si臋 chwila, gdy wizja inteligentnych dom贸w stanie si臋 rzeczywisto艣ci膮. Oczywi艣cie technologia ta wci膮偶 znajduje si臋 w bardzo wczesnym stadium rozwoju, niemniej jednak ju偶 istnieje. Czas poka偶e, czy inteligentne domy stan膮 si臋 now膮 platform膮 atak贸w cyberprzest臋pc贸w.

Rootkity

W niniejszym artykule termin "rootkit" oznacza technik臋 programowania lub kod, kt贸ry ma na celu ukrycie aktywno艣ci lub obiekt贸w w systemie. Cyberprzest臋pcy cz臋sto wykorzystuj膮 rootkity do ukrycia proces贸w, plik贸w, kluczy rejestru, aktywno艣ci sieciowej, czy innych zdarze艅 kt贸re mog艂yby zdradzi膰 obecno艣膰 z艂o艣liwego programu w zainfekowanym systemie.

Rootkity wci膮偶 ewoluuj膮 i s膮 aktywnie wykorzystywane przez cyberprzest臋pc贸w. Nie ma w tym nic dziwnego, poniewa偶 mog膮 one znacznie przed艂u偶y膰 obecno艣膰 w zainfekowanym systemie z艂o艣liwego programu, kt贸rego nie da si臋 wykry膰 przy u偶yciu standardowych narz臋dzi systemowych. Podczas gdy w 2004 roku w ci膮gu jednego miesi膮ca analitycy Kaspersky Lab wykrywali 艣rednio 6 rootkit贸w, pod koniec 2005 roku - a偶 32. Ten prawie czterokrotny wzrost ukazuje poni偶szy wykres.

Rys. 7: Wzrost liczby rootkit贸w.

W ci膮gu minionego roku zaobserwowali艣my stopniowy wzrost popularno艣ci rootkit贸w w trybie j膮dra w stosunku do rootkit贸w w trybie u偶ytkownika (wi臋cej informacji na temat rootkit贸w mo偶na znale藕膰 w tym raporcie). Oznacza to, 偶e ogromna liczba u偶ytkownik贸w wykorzystuje domy艣lne konto administratora, nie zdaj膮c sobie sprawy 偶e tym samym nara偶aj膮 swoje komputery na ataki.

Biznesowe szkodliwe oprogramowanie (business-malware)

Z艂o艣liwe programy tworzone dla osi膮gni臋cia korzy艣ci finansowych (business malware) s膮 tak samo rozpowszechnione jak programy przest臋pcze (crimeware). Prawie wszystkie z艂o艣liwe programy dodawane do antywirusowych baz danych mog膮 by膰 wykorzystane do cel贸w przest臋pczych. W tym artykule nie b臋dziemy omawia膰 szczeg贸艂owych kryteri贸w klasyfikacji (jest to temat na osobny artyku艂), ograniczymy si臋 jedynie do analizy zmian, jakie zasz艂y w tej kategorii na przestrzeni 2005 roku.

Najpopularniejsze w klasie business malware s膮 programy tworzone w celu kradzie偶y danych i zasob贸w finansowych. Jak pokazuje poni偶szy wykres, liczba z艂o艣liwych program贸w z tej kategorii wzros艂a w 2005 roku pi臋ciokrotnie. O艣 Y pokazuje liczb臋 nowych z艂o艣liwych program贸w z kategorii business malware zidentyfikowanych przez naszych analityk贸w.

Rys. 8: Wzrost liczby program贸w z kategorii business malware.

Z wykresu jasno wynika, 偶e w systemach bankowo艣ci i handlu elektronicznego cyberprzest臋pcy widz膮 dla siebie du偶e mo偶liwo艣ci osi膮gni臋cia korzy艣ci finansowych, co prowadzi do znacznego wzrostu liczby program贸w z klasy business malware. W zesz艂ym roku odnotowano wzrost liczby z艂o艣liwych program贸w atakuj膮cych kilka r贸偶nych system贸w p艂atno艣ci.

Szanta偶 cybernetyczny

W 2005 roku zwi臋kszy艂a si臋 liczba przypadk贸w szanta偶u cybernetycznego. Sprzyja temu anonimowo艣膰 Internetu, kt贸ra umo偶liwia cyberprzest臋pcom praktycznie bezkarne stosowanie szanta偶u. Firmy prowadz膮ce handel elektroniczny cz臋sto staj膮 si臋 celem atak贸w DDoS, natomiast do atak贸w na u偶ytkownik贸w ko艅cowych cz臋sto wykorzystywane s膮 konie troja艅skie modyfikuj膮ce dane. W zamian za przywr贸cenie zmodyfikowanych danych do ich pierwotnej postaci cyberprzest臋pcy 偶膮daj膮 okre艣lonej sumy pieni臋dzy.

Przyk艂adem takich program贸w jest wirus Virus.Win32.GPCode (szyfruj膮cy dane u偶ytkownika na dysku twardym) oraz trojan Trojan.Win32.Krotten (kt贸ry w celu uniemo偶liwienia prawid艂owego dzia艂ania komputera modyfikuje rejestr systemowy).

Wi臋kszo艣膰 u偶ytkownik贸w woli zap艂aci膰 偶膮dan膮 sum臋 ni偶 czeka膰 kilka godzin na udost臋pnienie przez firm臋 antywirusow膮 narz臋dzia deszyfruj膮cego. Istnieje jednak niebezpiecze艅stwo, 偶e takie dzia艂anie zach臋ci cyberprzest臋pc贸w do tworzenia nowych modyfikacji z艂o艣liwych program贸w. Przyk艂adem jest GPCode, kt贸ry z prymitywnego wirusa ewoluowa艂 do wersji wykorzystuj膮cej skomplikowane szyfrowanie asymetryczne.

Analitycy z firmy Kaspersky Lab, kt贸rzy od roku uwa偶nie 艣ledz膮 rozw贸j tych program贸w, przewiduj膮 nie tylko rozpowszechnienie podobnych technik szanta偶u w przysz艂o艣ci, ale r贸wnie偶 ich ewolucj臋.

Zalecenia dla u偶ytkownik贸w

Przy ca艂ej gamie problem贸w bezpiecze艅stwa IT, istnieje kilka prostych zalece艅, kt贸re pomog膮 u偶ytkownikom w unikni臋ciu lub zwalczeniu wi臋kszo艣ci zagro偶e艅 cybernetycznych.

  • Nie wolno otwiera膰 za艂膮cznik贸w ani klika膰 odsy艂aczy w nieoczekiwanych wiadomo艣ciach. Odnosi si臋 to do wiadomo艣ci otrzymanych za pomoc膮 poczty elektronicznej, jak i innych medi贸w internetowych (np. komunikator贸w internetowych). Co wi臋cej, zasady te dotycz膮 wiadomo艣ci od nadawc贸w nieznanych oraz tych z listy kontakt贸w. Istnieje wiele z艂o艣liwych program贸w, kt贸re infekuj膮 komputery, a nast臋pnie wysy艂aj膮 wiadomo艣ci na wszystkie znalezione adresy kontaktowe. Zawieraj膮 one za艂膮cznik lub odsy艂acz, kt贸rym towarzyszy wiarygodny tekst maj膮cy zach臋ci膰 odbiorc臋 do ich aktywowania. Osoby otrzymuj膮ce wiadomo艣ci, kt贸rych nie oczekiwa艂y, powinny skontaktowa膰 si臋 z nadawc膮, aby ustali膰, czy dana wiadomo艣膰 rzeczywi艣cie od nich pochodzi.
  • Nale偶y regularnie aktualizowa膰 rozwi膮zania antywirusowe.
  • Nie wolno zapomina膰 o instalowaniu 艂at dla systemu operacyjnego i wykorzystywanych program贸w.
  • Bardzo wa偶ne jest systematyczne tworzenie kopii zapasowych. W ten spos贸b b臋dzie mo偶na odzyska膰 dane, kt贸re zosta艂y utracone w wyniku awarii systemu operacyjnego lub uszkodzone na skutek dzia艂ania z艂o艣liwych program贸w.
  • Je艣li nie jest to konieczne, nie nale偶y korzysta膰 z konta administatora.
  • W celu ochrony komputera przed zagro偶eniami z Sieci zaleca si臋 zainstalowanie zapory ogniowej (firewall).

Wnioski

Niestety rok 2005 nie daje powod贸w do optymizmu. Wprost przeciwnie, w okresie tym pojawi艂y si臋 nowe metody atak贸w, istniej膮ce "z艂o艣liwe" technologie ewoluowa艂y i by艂y dostosowywane do okre艣lonych potrzeb. Oznacza to, 偶e obecne technologie s膮 bardziej skuteczne i mog膮 by膰 wykorzystywane do atakowania nowych platform.

Na podstawie danych z roku 2005 mo偶na przewidywa膰, 偶e cyberprzest臋pcy skoncentruj膮 swoje wysi艂ki na atakowaniu urz膮dze艅 przeno艣nych i sektora finansowego. Jednocze艣nie popularne b臋d膮 rootkity, botnety, szanta偶 cybernetyczny i inne dzia艂ania przest臋pcze. Chocia偶 organy 艣cigania coraz aktywniej walcz膮 z cyberprzest臋pczo艣ci膮, podejmowane przez nie inicjatywy nie s膮 wystarczaj膮ce zwa偶ywszy na liczb臋 cybernetycznych zagro偶e艅. Dlatego istotne jest, aby sami u偶ytkownicy podejmowali dzia艂ania, kt贸re zapewni膮 im bezpiecze艅stwo.

殴r贸d艂o:
Kaspersky Lab