Prze艂om w ewolucji z艂o艣liwych program贸w

Analitycy wirus贸w z firmy Kaspersky Lab zaobserwowali w ci膮gu ostatnich lat post臋puj膮c膮 kryminalizacj臋 Internetu. Przest臋pcy 艂膮cz膮 si臋 w mi臋dzynarodowe grupy przest臋pcze. To nowe podej艣cie wywiera tak ogromny wp艂yw na rynek z艂o艣liwych program贸w, 偶e spowodowa艂o znacz膮c膮 zmian臋, 偶eby nie u偶y膰 s艂owa prze艂om, w wielu standardowych kierunkach rozwoju z艂o艣liwego oprogramowania (koni troja艅skich, wirus贸w, program贸w adware).

Jednocze艣nie zmieni艂 si臋 system klasyfikacji szkodnik贸w firmy Kaspersky Lab. Profesjonalny rynek z艂o艣liwych program贸w zacz膮艂 wy艂ania膰 si臋 pod koniec 2003 roku, umocni艂 si臋 w roku 2004, natomiast na pocz膮tku 2005 r. ustabilizowa艂 si臋 na dobre. Dlatego rok 2004 mo偶na nazwa膰 rokiem, w kt贸rym Internet sta艂 si臋 powszechnym narz臋dziem przest臋pc贸w. Dane oparte na statystykach Kaspersky Lab potwierdzaj膮 jednoznacznie ten trend. Analitycy wirus贸w firmy Kaspersky Lab przytaczaj膮 niekt贸re z tych danych w przedstawionej poni偶ej dyskusji na temat klasyfikacji z艂o艣liwych program贸w.

  1. VirWare
  2. TrojWare
  3. MalWare
  4. Uwaga: AdWare
  5. Inne platformy: .NET, UNIX, Symbian
  6. Tworzenie wirus贸w: biznes, kt贸ry rozwija si臋
  7. Wnioski i prognozy

VirWare

Zgodnie z klasyfikacj膮 firmy Kaspersky Lab, kategoria VirWare obejmuje wszystkie wirusy i robaki (tj. wszystkie z艂o艣liwe programy, kt贸re s膮 zdolne do samoczynnego powielania si臋). Poni偶szy wykres ukazuje liczb臋 pr贸bek dodanych do tej kategorii szkodnik贸w w okresie mi臋dzy styczniem 2003 r. a czerwcem 2005 r.

Jak wynika z wykresu, po znacznym spadku, kt贸ry mia艂 miejsce pod koniec 2003 roku, liczba nowych wirus贸w i robak贸w zidentyfikowanych przez firm臋 Kaspersky Lab pozostaje zasadniczo sta艂a. Jednak, bardziej szczeg贸艂owa analiza okre艣lonych zachowa艅 szkodnik贸w z tej kategorii (zobacz tabela 1) ukazuje, 偶e przyczyn膮 tego og贸lnego efektu plateau jest roz艂o偶enie si臋 zainteresowa艅 tymi rodzajami z艂o艣liwych program贸w w obr臋bie kategorii VirWare. Wzrasta zainteresowanie z艂o艣liwymi programami wykazuj膮cymi nowe zachowania, czemu towarzyszy spadek zainteresowania (a co za tym idzie spadek ich liczby) wirusami, robakami P2P i innymi "klasycznymi" rodzajami z艂o艣liwego kodu.

Zachowanie Wsp贸艂czynnik wzrostu w roku 2004 w por贸wnaniu z rokiem 2003 Wsp贸艂czynnik wzrostu w roku 2005 w por贸wnaniu z rokiem 2004
Robaki pocztowe -20% 8%
Robaki komunikator贸w internetowych (IM) ^ (艣rednia = 1 na miesi膮c) ^ (艣rednia = 28 na miesi膮c)
Robaki IRC -28% -1%
Robaki internetowe 21% 29%
Robaki P2P -50% -36%
Robaki -1% 24%
Wirusy -54% -28%
VirWare -37% 7%
Tabela 1. Wsp贸艂czynniki wzrostu kategorii VirWare w okresie 2004 - 2005.

Przyjrzyjmy si臋 bli偶ej liczbom. W 2004 r. robaki pocztowe odnotowa艂y 20 procentowy wzrost, kt贸ry zosta艂 cz臋艣ciowo zr贸wnowa偶ony zaledwie o艣mioprocentowym wzrostem w roku 2005. Jest jeszcze za wcze艣nie, aby okre艣li膰, czy ten o艣mioprocentowy wsp贸艂czynnik oznacza rzeczywisty wzrost. Na tle og贸lnego wzrostu kategorii VirWare, kt贸ry wynosi 7 procent, wsp贸艂czynnik wzrostu dla grupy robak贸w pocztowych odzwierciedla og贸ln膮 tendencj臋 kategorii Virware w pierwszej po艂owie 2005 r. do utrzymywania sta艂ej pozycji.

G艂贸wn膮 przyczyn臋 og贸lnego spadku liczby robak贸w pocztowych nale偶y upatrywa膰 w dzia艂aniach podejmowanych przez producent贸w oprogramowania antywirusowego maj膮cych na celu zapewnienie natychmiastowej ochrony oraz ulepszonej heurystyki, jak r贸wnie偶 w wi臋kszej wiedzy u偶ytkownik贸w o istniej膮cych zagro偶eniach. Dodatkowo, mo偶na zauwa偶y膰, 偶e cyber-przest臋pcy w coraz mniejszym stopniu wykorzystuj膮 robaki pocztowe do wywo艂ania globalnych epidemii. Coraz popularniejsze staje si臋 natomiast masowe rozsy艂anie koni troja艅skich. Metoda ta staje si臋 coraz bardziej powszechna z czysto ekonomicznych wzgl臋d贸w - nie trzeba ju偶 tworzy膰 z艂o艣liwego programu, kt贸ry zainfekuje komputery. Konie troja艅skie s膮 ta艅sze, mo偶na je stworzy膰 w kr贸tszym czasie, maj膮 mniejszy rozmiar, dzi臋ki czemu s膮 艂atwiejsze w rozes艂aniu.

Robaki komunikator贸w internetowych (IM) wykazuj膮 najwy偶szy wsp贸艂czynnik wzrostu w tej kategorii. Ten typ robak贸w zosta艂 po raz pierwszy wykryty w 2001 r. i w ci膮gu ostatnich lat nie odnotowa艂 znacznego wzrostu. Dopiero rok 2005 okaza艂 si臋 punktem zwrotnym: do dzi艣 liczba robak贸w komunikator贸w internetowych znacznie wzrasta. Dla por贸wnania, w zesz艂ym roku analitycy firmy Kaspersky Lab wykrywali przeci臋tnie jednego robaka komunikator贸w internetowych na miesi膮c; obecnie 艣rednia ta wynosi 28 na miesi膮c. Mo偶na to wyja艣ni膰 cz臋艣ciowo faktem, 偶e robaki te s膮 w pewnym sensie nowo艣ci膮 i wielu u偶ytkownik贸w nie jest 艣wiadomych potencjalnego niebezpiecze艅stwa z ich strony.

Rok 2004 mo偶na okre艣li膰 jako ostatni dla robak贸w IRC. Robaki IRC praktycznie znikn臋艂y ze sceny. Wi臋kszo艣膰 z nich zosta艂a wskrzeszona w postaci backdoor贸w. Jednoprocentowy spadek odnotowany przez t臋 grup臋 w roku 2005 wykazuje nie tyle okres stagnacji co zmierzch epoki. Robaki te osi膮gn臋艂y granic臋 ewolucyjn膮. Rok 2004 mo偶na okre艣li膰 jako ostatni dla robak贸w IRC.

Robaki internetowe nie tylko utrzyma艂y wcze艣niejszy wsp贸艂czynnik wzrostu, ale nawet zwi臋kszy艂y go. Ten typ z艂o艣liwych program贸w zyskuje coraz wi臋ksz膮 popularno艣膰, poniewa偶 proces ich rozprzestrzeniania nie wymaga interakcji u偶ytkownika. Nie trzeba si臋 r贸wnie偶 martwi膰, czy u偶ytkownik otrzyma zainfekowan膮 wiadomo艣膰, uruchomi zainfekowany za艂膮cznik; nie ma te偶 potrzeby pisania sprytnych tekst贸w wykorzystuj膮cych socjotechnik臋, aby zwi臋kszy膰 prawdopodobie艅stwo uruchomienia robaka przez u偶ytkownika.

Popularno艣膰 robak贸w P2P wci膮偶 spada i si臋ga ju偶 poziomu robak贸w IRC. Znikni臋cie tej grupy robak贸w mo偶na w du偶ym stopniu przypisa膰 kampanii w mediach maj膮cej na celu kontrol臋 lub zamkni臋cie wielu sieci P2P w ramach przeciwdzia艂ania piractwu.

Robaki wykaza艂y znaczny wzrost w roku 2005 po niewielkim spadku w roku 2004. Nie jest to jednak spowodowane wi臋ksz膮 aktywno艣ci膮 tw贸rc贸w robak贸w; robaki znajduj膮 po prostu nowe 艣rodowiska, np. Symbian wykorzystywany w urz膮dzeniach przeno艣nych (zobacz poni偶ej).

Wirusy klasyczne, oryginalne z艂o艣liwe programy, prawie ca艂kowicie znikn臋艂y. Nietrudno to wyja艣ni膰: z jednej strony stworzenie klasycznych wirus贸w wymaga wi臋cej pracy w por贸wnaniu z innymi z艂o艣liwymi programami; z drugiej strony, niskie wsp贸艂czynniki rozprzestrzeniania przynosz膮 profesjonalnym tw贸rcom wirus贸w niewielki zwrot inwestycji. W 2005 r. klasyczne wirusy po raz drugi z rz臋du odnotowa艂y znaczny spadek.

Znaczny wzrost (7%) odnotowany przez kategori臋 VirWare po du偶ym spadku wsp贸艂czynnika wzrostu (-37%) 艣wiadczy o prze艂omie w obr臋bie tej klasy. Wykres 1 wyra藕nie pokazuje, 偶e pocz膮wszy od roku 2004 ta kategoria z艂o艣liwego oprogramowania praktycznie wykazywa艂a efekt plateau, przy czym wahania wsp贸艂czynnika wzrostu okre艣lonych typ贸w z艂o艣liwego oprogramowania w tej kategorii by艂y r贸wnowa偶one wahaniami szkodnik贸w innego typu. Dlatego, og贸lny wsp贸艂czynnik wzrostu (lub jego brak) kategorii VirWare prawdopodobnie pozostanie sta艂y.

TrojWare

Kategoria ta, obejmuj膮ca konie troja艅skie wszelkiego typu, znajduje si臋 w czo艂贸wce. Jak pokazuje wykres 2 - liczba nowych koni troja艅skich dodanych do kolekcji wirus贸w firmy Kaspersky Lab od styczna 2003 r. - konie troja艅skie sta艂y si臋 w minionych latach ulubionym narz臋dziem tw贸rc贸w z艂o艣liwego oprogramowania.


Wykres 2. Wsp贸艂czynnik wzrostu kategorii TrojWare - liczba nowych koni troja艅skich dodanych do kolekcji wirus贸w firmy Kaspersky Lab w okresie od styczna 2003 r do maja 2005.

Z wykresu wynika, 偶e prze艂om w ewolucji kategorii TrojWare mia艂 miejsce w drugiej po艂owie 2004. Obecnie wsp贸艂czynnik wzrostu utrzymuje si臋 na wysokim poziomie przewy偶szaj膮c wsp贸艂czynniki wzrostu wykazywane przez pozosta艂e kategorie z艂o艣liwych program贸w. Tabela 2 ukazuje zr贸偶nicowanie w obr臋bie kategorii konie troja艅skie na przestrzeni dw贸ch ostatnich lat. Kresk膮 poziom膮 zaznaczono pozycje, dla kt贸rych trudno by艂o uzyska膰 dane, poniewa偶 mieszcz膮 si臋 w granicach b艂臋d贸w statystycznych.

Zachowanie Wsp贸艂czynnik wzrostu w roku 2004 w por贸wnaniu z rokiem 2003 Wsp贸艂czynnik wzrostu dla 2005 r. w por贸wnaniu z rokiem 2004
Banker 170% 115%
Backdoor 41% 49%
Trojan 537% 74%
Trojan-ArcBomb ? ?
Trojan-Clicker 263% 83%
Trojan-DDoS ? ?
Trojan-Downloader ? 184%
Trojan-Dropper ? 188%
Trojan-IM ? ?
Trojan-Notifier ? ?
Trojan-Proxy ? 61%
Trojan-PSW 52% 47%
Trojan-Spy 251% 71%
Rootkit ^ (艣rednia = 6,25 na miesi膮c) ^ (艣rednia = 17,8 na miesi膮c)
TrojWare 157% 82%
Tabela 2. Wsp贸艂czynniki wzrostu kategorii TrojWare w latach 2004 - 2005

Nale偶y zauwa偶y膰, 偶e programy Banker nie stanowi膮 w rzeczywisto艣ci oddzielnej grupy koni troja艅skich - s膮 to po prostu trojany, kt贸re wykradaj膮 z zainfekowanych komputer贸w informacje o kontach bankowych. Identyfikowanie ich jako oddzielnej grupy wskazuje na szczeg贸lne zainteresowanie, jakim szkodniki te ciesz膮 si臋 w podziemiu komputerowym, jak r贸wnie偶 na du偶y wsp贸艂czynnik wzrostu tych program贸w. 艢redni wsp贸艂czynnik wzrostu program贸w Banker przewy偶sza 艣redni wsp贸艂czynnik wzrostu kategorii TrojWare. Co wi臋cej, r贸偶nica ta zwi臋kszy艂a si臋 ostatnio, co 艣wiadczy o tym, 偶e podziemie komputerowe coraz bardziej interesuje si臋 zyskami finansowymi.

Wsp贸艂czynnik wzrostu Backdoor贸w pozostaje niezmienny od kilku lat, podczas gdy trojany wykazuj膮 w roku 2005 znacznie ni偶szy wsp贸艂czynnik wzrostu (53%) ni偶 w roku 2004 (74%). Chocia偶 ich liczba stale wzrasta, stagnacja wydaje si臋 nieuchronna.

R贸wnie偶 liczba program贸w Trojan-Clicker wzrasta艂a mniej gwa艂townie ni偶 inne typy koni troja艅skich. Mimo to, pozostaje na stosunkowo wysokim poziomie, co pozwala wnioskowa膰, 偶e liczba tych program贸w b臋dzie nadal wzrasta膰.

Wska藕nik wzrostu program贸w Trojan-Downloader nale偶y do najwy偶szych w swojej kategorii. Przyczyna jest oczywista: obecnie programy te s膮 powszechnie wykorzystywane do tworzenia botnet贸w (sieci zainfekowanych komputer贸w). Do rozprzestrzeniania tych program贸w stosowane s膮 ostatnio techniki spamowe, co przyczynia si臋 do zmniejszenia liczby robak贸w pocztowych. Po masowym rozes艂aniu program贸w Trojan-Downloader wykorzystywane s膮 one do zainstalowania i uaktualnienia z艂o艣liwych program贸w na komputerze ofiary. Nie ma nic dziwnego w popularno艣ci rozsy艂ania spamu zwa偶ywszy, 偶e cyber-przest臋pcy przetestowali ju偶 reakcj臋 bran偶y antywirusowej na epidemie robak贸w pocztowych i przegrali batali臋 wobec szybkiej reakcji producent贸w oprogramowania antywirusowego.

Ostatnio programy Trojan-Downloader s膮 powszechnie wykorzystywane do tworzenia botnet贸w. Programy Trojan-Dropper wykazuj膮 te same wsp贸艂czynniki wzrostu co programy Trojan-Downloader. Zjawisko to mo偶na 艂atwo wyja艣ni膰, je艣li we藕miemy pod uwag臋 znaczenie program贸w Trojan-Dropper w tworzeniu botnet贸w. Botnety zawieraj膮 programy Trojan-Downloader, backdoory lub programy Trojan-Proxy, kt贸re r贸wnie偶 staj膮 si臋 coraz popularniejsze, chocia偶 w mniejszym stopniu ni偶 programy Trojan-Downloader i Trojan-Dropper. Stosunkowo ograniczony wzrost liczby program贸w Trojan-Proxy wynika st膮d, 偶e programy te nie posiadaj膮 powszechnego zastosowania - Droppery, Downloadery i Backdoory wykorzystywane s膮 do tworzenia botnet贸w, podczas gdy programy Trojan-Proxy u偶ywane s膮 g艂贸wnie do rozsy艂ania spamu z zainfekowanych komputer贸w.

Zauwa偶alny wzrost wsp贸艂czynnik贸w wzrostu program贸w Trojan-Spy i Trojan-PSW 艣wiadczy o tym, 偶e wi臋kszo艣膰 wsp贸艂czesnych tw贸rc贸w wirus贸w kieruje si臋 motywami finansowymi: prawie wszystkie przechwytywane informacje wykorzystywane s膮 do uzyskania nieautoryzowanego dost臋pu do zasob贸w internetowych i finansowych u偶ytkownika. Dane te cz臋sto sprzedawane s膮 osobom trzecim.

Stosunkowo niedawno wyr贸偶nili艣my w naszej klasyfikacji jako oddzieln膮 kategori臋 Rootkity, co 艣wiadczy o rosn膮cym zainteresowaniu tymi programami. Wynika to z mo偶liwo艣ci wykorzystania rootkit贸w do "przed艂u偶ania 偶ycia" innych rodzaj贸w z艂o艣liwych program贸w u偶ywanych do infekowania komputer贸w ofiar. Z kolei producenci oprogramowania antywirusowego opracowali nowe formy ochrony u偶ytkownik贸w. Skuteczna implementacja rootkit贸w w systemach Windows spowodowana jest g艂贸wnie niewiedz膮 u偶ytkownik贸w, poniewa偶 wi臋kszo艣膰 z nich korzysta z komputer贸w z uprawnieniami administratora, a to stanowi podstawowy warunek zainstalowania rootkita w systemie.

Z rootkit贸w typu user mode tw贸rcy wirus贸w skierowali swoje zainteresowania na rootkity typu kernel mode: ro艣nie liczba rootkit贸w drugiego typu, poniewa偶 przy ich pomocy mo偶na ukry膰 wi臋cej informacji.

Og贸lnie kategoria TrojWare wykazuje sta艂y wzrost, a 艣redni wsp贸艂czynnik wzrostu jest wy偶szy ni偶 w przypadku innych kategorii. Nie ma w膮tpliwo艣ci, 偶e prze艂om mia艂 miejsce ju偶 wcze艣niej i prawie wszystkie typy trojan贸w zmierzaj膮 w kierunku osi膮gni臋cia sta艂ego wsp贸艂czynnika wzrostu.

MalWare

Jest to najszersza kategoria w naszym systemie klasyfikacji; jednak w zwi膮zku z brakiem zainteresowania tworzenia z艂o艣liwych program贸w tego typu w niedalekiej przysz艂o艣ci mo偶emy spodziewa膰 si臋 stagnacji w tej kategorii, w 艣lad za kt贸r膮 nast膮pi nieznaczny spadek. Wsp贸艂czynniki wzrostu kategorii MalWare zosta艂y ukazane poni偶ej.

Tylko dwie nowe grupy z tej kategorii odnotowa艂y znaczny wzrost: programy typu Exploit ze wsp贸艂czynnikiem wzrostu 49% oraz Narz臋dzia Hakerskie ze wsp贸艂czynnikiem wzrostu 36%.


Wykres 3. Wsp贸艂czynnik wzrostu kategorii MalWare w okresie od stycznia 2003 r. do maja 2005 r.

W roku 2004 w kategorii MalWare pojawi艂a si臋 nowa grupa - Narz臋dzia Spamerskie. Chocia偶 programy te nie wykazuj膮 gwa艂townego wzrostu, w ci膮gu miesi膮ca pojawia si臋 przynajmniej kilka z nich. Narz臋dzia Spamerskie stosowane s膮 do wyszukiwania na zainfekowanych komputerach nowych adres贸w e-mail, na kt贸re wysy艂ane s膮 nast臋pnie wiadomo艣ci typu spam. Narz臋dzia te s膮 masowo rozsy艂ane przy pomocy technik spamowych lub przy u偶yciu botnet贸w.

Inne grupy w obr臋bie tej kategorii nie ciesz膮 si臋 du偶ym zainteresowaniem, g艂贸wnie z powodu ich nieprzydatno艣ci w uzyskiwaniu korzy艣ci finansowych.

Uwaga: AdWare

Adware jest programem instalowanym na komputerze ofiary w celu reklamowania okre艣lonych towar贸w lub us艂ug. Liczba tych program贸w gwa艂townie wzros艂a w drugiej po艂owie 2004 r. Og贸lnie liczba program贸w adware wzros艂a w roku 2004 o 78%, co 艣wiadczy o niew膮tpliwym zainteresowaniu tymi programami ze strony tw贸rc贸w wirus贸w.


Wykres 4. Wsp贸艂czynnik wzrostu program贸w adware w okresie od stycznia 2003 r. do maja 2005 r.

Zjawisko to mo偶na wyja艣ni膰 tym, 偶e programy adware s膮 teoretycznie legalne, chocia偶 mo偶na dopatrzy膰 si臋 tu sprzeczno艣ci termin贸w. Ta niejasno艣膰 prawna powoduje, 偶e wiele firm otwarcie rozwija takie programy. Na przyk艂ad, najwi臋ksza firma zajmuj膮ca si臋 programami adware Claria Corporation, kt贸ra stworzy艂a znany program Gator, posiada obroty w wysoko艣ci 90,5 milion贸w dolar贸w. Wed艂ug prognoz Jupiter Communications Inc., wielko艣膰 rynku reklamy w Internecie wzro艣nie w tym roku do 28 miliard贸w dolar贸w.

Obecnie programy adware balansuj膮 na delikatnej granicy oddzielaj膮cej oprogramowanie legalne od nielegalnego. W艣r贸d wykrytych niedawno r贸偶nych typ贸w potencjalnie lub jednoznacznie szkodliwych program贸w adware znalaz艂y si臋:

  • programy adware infekuj膮ce pliki wykonywalne
  • programy adware wykorzystuj膮ce technologie rootkit do ukrycia swojej obecno艣ci w systemie
  • programy adware wykorzystuj膮ce exploity do zainstalowania si臋 w systemie
  • programy adware legalnie przechwytuj膮ce informacje

艢wiadczy to o 艣wiadomo艣ci tw贸rc贸w adware ogromnej roli, jak膮 w ich produktach odgrywaj膮 niuanse. Dlatego nieustannie d膮偶膮 oni - przy u偶yciu wirus贸w, rootkit贸w i innych z艂o艣liwych technologii - do zwi臋kszenia czasu, jaki up艂ywa od momentu zainstalowania do wykrycia lub usuni臋cia takich program贸w.

Liczba pozw贸w skierowanych przeciwko tw贸rcom adware sugeruje, 偶e bran偶a antywirusowa jest bliska sklasyfikowania adware jako jednoznacznie z艂o艣liwego oprogramowania. Przyk艂adem mo偶e by膰 firma Symantec, kt贸ra wnios艂a do s膮du spraw臋 przeciwko Hotbar.com, twierdz膮c, 偶e programy reklamuj膮ce Hotbar stanowi膮 zagro偶enie dla bezpiecze艅stwa IT. W 艣wietle tej sprawy dziwi fakt, 偶e firmy takie jak Deutsche Bank i zaliczaj膮 si臋 do inwestor贸w Hotbara.

Podsumowuj膮c, mo偶na powiedzie膰, 偶e przepa艣膰 istniej膮ca mi臋dzy tak zwanymi programami adware a rzeczywistymi z艂o艣liwymi programami praktycznie przesta艂a istnie膰.

Inne platformy - .NET, Unix i Symbian

Przest臋pstwa cybernetyczne nieustannie ewoluuj膮, a tw贸rcy wirus贸w uwa偶nie monitoruj膮 przej艣cie u偶ytkownik贸w na nowe platformy. Coraz wi臋ksz膮 popularno艣ci膮 cieszy si臋 w艣r贸d cyber-przest臋pc贸w platforma .NET; chocia偶 liczba tworzonych dla niej z艂o艣liwych program贸w jest wci膮偶 nieznaczna, stale wzrasta. Wygl膮da na to, 偶e tw贸rcy wirus贸w monitoruj膮 obecnie t臋 platform臋, chocia偶 nie uwa偶aj膮 jej jeszcze za powa偶ny cel.

Liczba z艂o艣liwych program贸w dla Uniksa (zobacz tabela 3) wzrasta proporcjonalnie do wzrostu popularno艣ci Uniksa. Tym samym obalony zostaje mit, 偶e Unix jest niepodatny na ataki, potwierdzona natomiast hipoteza, 偶e liczba atak贸w na okre艣lon膮 platform臋 jest proporcjonalna do jej popularno艣ci.

Rok 艢rednia liczba z艂o艣liwych program贸w na miesi膮c
2003 12,67
2004 21,58
2005 35,20
Tabela 3. Wzrost z艂o艣liwych program贸w atakuj膮cych Uniksa.

W ci膮gu ostatnich lat cyber-przest臋pcy skierowali swoj膮 uwag臋 w kierunku urz膮dze艅 przeno艣nych dzia艂aj膮cych pod kontrol膮 Symbiana. Podczas gdy w zesz艂ym roku 艣rednia liczba z艂o艣liwych program贸w dla tej platformy wykrywanych w ci膮gu miesi膮ca wynosi艂a 1,42, w tym roku liczba ta wynosi ju偶 7,4. 艢wiadczy to o znacznym wzro艣cie zainteresowania t膮 platform膮, kt贸re prawdopodobnie zwi臋kszy si臋 w przysz艂o艣ci.

B臋dziemy 艣wiadkami prawdziwego boomu z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych, gdy u偶ytkownicy telefon贸w kom贸rkowych b臋d膮 mogli uzyska膰 dost臋p do system贸w p艂atno艣ci i kont bankowych on-line. Jest to pow贸d do niepokoju zwa偶ywszy na obecny poziom bezpiecze艅stwa system贸w operator贸w telefonii kom贸rkowych po艂膮czony z brakiem 艣wiadomo艣ci u偶ytkownik贸w telefon贸w kom贸rkowych. Pierwsza globalna epidemia z艂o艣liwych program贸w dla urz膮dze艅 przeno艣nych mo偶e z 艂atwo艣ci膮 spowodowa膰 za艂amanie sieci.

Tworzenie wirus贸w: biznes, kt贸ry rozwija si臋

Pod koniec lat 90. ubieg艂ego stulecia i na pocz膮tku obecnego wielu analityk贸w twierdzi艂o, 偶e tw贸rcy wirus贸w nie maj膮 przed sob膮 偶adnej przysz艂o艣ci, poniewa偶 rekrutowali si臋 g艂贸wnie spo艣r贸d nastolatk贸w albo student贸w nie posiadaj膮cych rzeczywistych 艣rodk贸w finansowych. Jednak do roku 2005 sytuacja zmieni艂a si臋 diametralnie; obecnie pisaniem z艂o艣liwych program贸w zajmuj膮 si臋 "profesjonalni przest臋pcy", kt贸rzy licz膮 na konkretne korzy艣ci finansowe. Potwierdzaj膮 to nast臋puj膮ce fakty:

  • Wzrost liczby z艂o艣liwych program贸w rozsy艂anych przy u偶yciu technik spamowych w por贸wnaniu z klasycznymi robakami zdolnymi do samoczynnego rozprzestrzeniania si臋, co znalaz艂o odbicie w statystykach dotycz膮cych kategorii TrojWare i VirWare. Na przyk艂ad, autorzy robaka Bagle stopniowo odchodz膮 od pisania nowych wersji robak贸w pocztowych Bagle na rzecz Trojan-PSW.Win32.LdPinch. Ten ko艅 troja艅ski jest powszechnie wykorzystywany do tworzenia botnet贸w.
  • Wzrost liczby z艂o艣liwych program贸w u偶ywanych do uzyskania bezprawnego dost臋pu do danych u偶ytkownika, takich jak has艂a sieciowe i ICQ, informacje finansowe itd. w celu nielegalnego wykorzystania tych informacji.
  • Lawina nowych program贸w adware.

Powy偶sze fakty potwierdzaj膮, 偶e brak 艣rodk贸w finansowych nie stanowi 偶adnego problemu, poniewa偶 tworzenie z艂o艣liwych program贸w sta艂o si臋 teraz lukratywnych zaj臋ciem. Obecnie bran偶a antywirusowa jest w stanie sprosta膰 post臋pom, kt贸rych dokonali tw贸rcy wirus贸w, dzi臋ki wykorzystywaniu infrastruktury, stworzenie kt贸rej zaj臋艂o lata i pozwalaj膮cej na bardzo szybkie reagowanie na nowe zagro偶enia. Monitorowanie podziemia wirusowego potwierdzi艂o jednoznacznie, 偶e tw贸rcy wirus贸w r贸wnie偶 monitoruj膮 bran偶臋 antywirusow膮. Rozwijaj膮 w艂asn膮 struktur臋 w celu skanowania i infekowania nowych komputer贸w ofiar.

Przy stale rosn膮cej cz臋stotliwo艣ci atak贸w sieciowych (na przyk艂ad cz臋sto obserwujemy kilka wersji jednego z艂o艣liwego programu z kategorii VirWare w ci膮gu jednego dnia) decyduj膮c膮 rol臋 w powstrzymywaniu epidemii odgrywa szybko艣膰 reakcji firm antywirusowych na nowe zagro偶enia. Tabela 4 pokazuje liczb臋 aktualizacji antywirusowych baz danych publikowanych przez firm臋 Kaspersky Lab w ci膮gu ostatnich lat.

Rok Liczba aktualizacji Cz臋stotliwo艣膰 aktualizacji Liczba aktualizacji "pilnych"
2003 818 co 3 godziny 120
2004 4008 co godzin臋 215
2005 (prognoza) 6500 co godzin臋 270
Tabela 4. Wzrost cz臋stotliwo艣ci aktualizacji antywirusowych baz danych w skali roku.

Liczba regularnych aktualizacji pokazuje tak偶e, 偶e Kaspersky Lab pr贸buje uchroni膰 u偶ytkownik贸w przed infekcjami poprzez zwi臋kszenie liczby planowanych aktualizacji. Jednak z informacji podawanych w ankietach wynika, 偶e zaledwie 25% u偶ytkownik贸w regularnie aktualizuje rozwi膮zania antywirusowe cz臋艣ciej ni偶 raz w tygodniu.

Zwi臋kszenie liczby aktualizacji "pilnych" 艣wiadczy o tym, 偶e znacznie wzros艂a liczba sytuacji, w kt贸rych u偶ytkownicy potrzebuj膮 natychmiastowej ochrony mog膮cej uchroni膰 ich przed du偶膮 epidemi膮.

Cyber-przest臋pcy coraz cz臋艣ciej stosuj膮 pakery w celu ukrycia swoich z艂o艣liwych program贸w.

Rok Wzrost liczby spakowanych z艂o艣liwych program贸w w stosunku do innych
2003 28,94%
2004 33,06%
2005 (prognoza) ok. 35%
Tabela 5. Wzrost liczby spakowanych szkodnik贸w w stosunku do innych z艂o艣liwych program贸w

W 艣wiecie wirtualnym zmagaj膮 si臋 ze sob膮 nie tylko firmy antywirusowe i cyber-przest臋pcy; r贸wnie偶 przest臋pcy komputerowi wzajemnie si臋 zwalczaj膮. Powstaj膮 nowe grupy przest臋pcze, a mniejsze grupy d膮偶膮 do po艂膮czenia si臋 w wi臋ksze. Trend ten z pewno艣ci膮 osi膮gnie szczyt, po kt贸rym nast膮pi konflikt interes贸w prowadz膮cy do nowych wojen cybernetycznych, kt贸re z kolei doprowadz膮 do wyeliminowania s艂abszych grup.

Pozycj臋 bran偶y antywirusowej wzmocni nie tylko wprowadzenie nowych technologii, ale r贸wnie偶 zacie艣nienie wi臋z贸w z organami 艣cigania, kt贸re w ostatnim czasie coraz bardziej skupiaj膮 swoje wysi艂ki na zwalczaniu cyber-przest臋pczo艣ci. W roku 2004 i 2005 byli艣my 艣wiadkami zwi臋kszenia liczby spraw kierowanych do s膮du przeciwko tw贸rcom wirus贸w i cyber-przest臋pcom. Jest to naturalnym rezultatem negatywnego wp艂ywu, jaki cyber-przest臋pczo艣膰 wywiera na 艣wiatow膮 gospodark臋.

Mimo rosn膮cej liczby przypadk贸w aresztowa艅 i proces贸w s膮dowych liczba z艂o艣liwych program贸w r贸wnie偶 stale si臋 powi臋ksza. Innymi s艂owy, batalia toczona przeciwko cyber-przest臋pczo艣ci na poziomie legislacyjnym dopiero raczkuje. Aby mo偶na by艂o skutecznie egzekwowa膰 prawo na tym polu niezb臋dne s膮 zasoby np. w postaci lepszych ustaw.

Wnioski i prognozy

Jak wynika z powy偶szej analizy, spo艂eczno艣膰 internetowa by艂a 艣wiadkiem prze艂omu. Czego internauci mog膮 spodziewa膰 si臋 w przysz艂o艣ci? Nale偶y zastanowi膰 si臋 nad pal膮cymi sprawami, takimi jak:

  • lokalne rozsy艂anie z艂o艣liwych program贸w, kt贸re b臋d膮 mia艂y na celu utrudnienie wykrywania z艂o艣liwych program贸w tam, sk膮d zosta艂y rozes艂ane;
  • rozprzestrzenianie z艂o艣liwych program贸w z my艣l膮 o konkretnych celach - utrudni to skuteczn膮 reakcj臋 producent贸w oprogramowania antywirusowego;
  • sta艂e zmniejszaj膮ca si臋 liczba epidemii globalnych wywo艂ywanych przez robaki internetowe, kt贸re w znacznym stopniu b臋d膮 uzale偶nione od spadku liczby nowych luk krytycznych w MS Windows i szybkiej reakcji firmy Microsoft na nowe luki;
  • poszukiwanie nowych metod socjotechniki w celu skuteczniejszego infekowania komputer贸w ofiar (po masowym rozes艂aniu najnowszej wersji trojana Trojan-PSW.Win32.LdPinch przez ICQ zdalni u偶ytkownicy wykorzystali botnet, aby odpowiada膰 na wiadomo艣ci ICQ od u偶ytkownik贸w);
  • rynek z艂o艣liwych program贸w nie zosta艂 jeszcze nasycony i b臋dzie dalej si臋 rozrasta艂 prowadz膮c do cyber-wojen mi臋dzy zmniejszaj膮c膮 si臋 liczb膮 du偶ych i lepiej zorganizowanych grup przest臋pczych;
  • nieustanny wzrost ilo艣ci spamu, atak贸w typu phishing, program贸w adware, z艂o艣liwych program贸w, botnet贸w, oszustw i szanta偶y internetowych oraz innych przest臋pstw cybernetycznych;
  • powolny, ale sta艂y przyp艂yw nowych ustaw stwarzaj膮cych podstaw臋 dzia艂a艅 organ贸w 艣ledczych;
  • zainteresowanie tw贸rc贸w wirus贸w nowymi platformami popularnymi w艣r贸d u偶ytkownik贸w.