SYMANTEC ENTERPIRSE SECURITY Raport firmy Symantec na

Transkrypt

SYMANTEC ENTERPIRSE SECURITY
Raport firmy Symantec
na temat bezpieczeństwa
w Internecie
Tendencje w okresie
lipiec-grudzień 2004 r.
Wydanie VII, marzec 2005 r.
Dean Turner
Redaktor Prowadzący
dział Symantec Security Response
Stephen Entwisle
Redaktor
Oliver Friedrichs
Doradca Techniczny
David Ahmad
Kierownik ds. Rozwoju
Daniel Hanson
Analityk Zagrożeń (System DeepSight)
Marc Fossi
Analityk Zagrożeń (System DeepSight)
Sarah Gordon
Starszy Pracownik Badawczy
Peter Szor
Architekt Zabezpieczeń
Eric Chien
Pracownik Badawczy ds. Zabezpieczeń
David Cowings
Sr. Business Intelligence Manager
dział Symantec Business Intelligence
Dylan Morss
Główny Analityk ds. Inteligentnej Analizy Danych
Brad Bradley
Starszy Analityk ds. Inteligentnej Analizy Danych
Wydanie VII, marzec 2005 r.
na temat bezpieczeństwa w Internecie
Spis treści
Streszczenie dla kierownictwa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Tendencje dotyczące ataków . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Tendencje dotyczące luk w zabezpieczeniach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Tendencje dotyczące destrukcyjnego kodu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
Dodatkowe zagrożenia dla bezpieczeństwa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
Spojrzenie w przyszłość . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
Załącznik A – Najlepsze procedury zalecane przez firmę Symantec . . . . . . . . . . . . . . . . . . . . . . . . 80
Załącznik B – Metodyka badań tendencji dotyczących ataków . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
Załącznik C – Metodyka badań tendencji dotyczących luk w zabezpieczeniach . . . . . . . . . . . . . . . 87
Załącznik D – Metodyka badań tendencji dotyczących destrukcyjnego kodu . . . . . . . . . . . . . . . . . 91
Załącznik E – Metodyka badań dodatkowych zagrożeń bezpieczeństwa . . . . . . . . . . . . . . . . . . . . . 92
Streszczenie dla kierownictwa
Niniejszy Raport firmy Symantec na temat bezpieczeństwa w Internecie zawiera informacje o zagrożeniach
internetowych za okres sześciu miesięcy. Obejmuje analizę ataków internetowych, przegląd znanych luk
w zabezpieczeniach oraz omówienie najważniejszych rodzajów destrukcyjnego kodu i dodatkowych
zagrożeń bezpieczeństwa. Niniejszy rozdział zawiera streszczenie Raportu oraz zwraca uwagę czytelnika na
bieżące tendencje i nowe, nieuchronnie zbliżające się zagrożenia. Ponadto w rozdziale tym podajemy nasze
zalecenia dotyczące ochrony przed sygnalizowanymi problemami i niwelowania ich skutków. Niniejsze
VII wydanie Raportu obejmuje okres sześciomiesięczny od 1 lipca 2004 r. do 31 grudnia 2004 r.
Firma Symantec stworzyła jedno z najpełniejszych na świecie źródeł danych o zagrożeniach w Internecie.
Dane są zbierane przez ponad 20 tys. czujników zainstalowanych w przeszło 180 krajach w ramach
systemu zarządzania zagrożeniami Symantec DeepSight™ Threat Management System oraz usług
zarządzania ochroną Symantec Managed Security Services. Firma Symantec gromadzi ponadto dane na
temat destrukcyjnego kodu, oprogramowania szpiegowskiego oraz typu adware z ponad 120 mln systemów
klienckich i serwerowych oraz bram działających u użytkowników indywidualnych i w środowiskach
korporacyjnych, w których wdrożono produkty antywirusowe firmy Symantec. Ponadto firma Symantec
utrzymuje jedną z najbardziej kompleksowych na świecie baz danych na temat luk w zabezpieczeniach,
która obejmuje ponad 11 tys. luk w zabezpieczeniach przeszło 20 tys. technologii dostarczanych przez
ponad 2 tys. producentów. Firma Symantec prowadzi również serwis BugTraq™ – jedno
z najpopularniejszych forów internetowych poświęconych ujawnianiu i omawianiu luk w zabezpieczeniach.
Oprócz tego sieć Symantec Probe Network – system sond obejmujący ponad 2 mln kont-przynęt
– zwabia wiadomości e-mail z ponad 20 krajów świata, umożliwiając nam monitorowanie globalnej
aktywności w zakresie spamu (rozsyłania niechcianej poczty elektronicznej) i phishingu (oszustw
polegających na wyłudzaniu poufnych danych). Wyżej wymienione zasoby stanowią dla analityków firmy
Symantec znakomite źródła danych pozwalających na rozpoznawanie nowych tendencji w zakresie ataków
i destrukcyjnego kodu.
Niniejszy Raport firmy Symantec na temat bezpieczeństwa w Internecie opiera się głównie na fachowej
analizie danych zebranych w wyżej omówiony sposób. Dzięki wiedzy i doświadczeniu firmy Symantec,
analiza ta pozwala na sformułowanie przemyślanych i kompetentnych uwag na temat aktualnego stanu
zagrożeń internetowych. Firma Symantec ma nadzieję, że analizy zagrożeń internetowych przedstawione
w niniejszym Raporcie pomogą społeczności zainteresowanej bezpieczeństwem systemów komputerowych
efektywniej zabezpieczać swoje systemy, zarówno dzisiaj jak i w przyszłości.
Phishing – narastające zagrożenie
W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie wskazaliśmy na
phishing jako nowe zagrożenie dla bezpieczeństwa1. Phishing jest to próba wyłudzenia przez
nieupoważnioną osobę informacji od osoby, grupy przedsiębiorstwa lub instytucji, często w celu uzyskania
nielegalnych korzyści finansowych bądź w innych oszukańczych celach. Próby takie są często
przeprowadzane za pośrednictwem przeglądarki WWW i wykorzystują socjotechniki.
Phishing stanowi poważne zagrożenie nie tylko dla użytkowników indywidualnych, lecz także dla
przedsiębiorstw handlu elektronicznego, instytucji finansowych oraz innych firm i instytucji
1
4
Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 44:
http://enterprisesecurity.symantec.com/content.cfm?articleid=1539
przeprowadzających transakcje za pośrednictwem Internetu. Hakerzy stosujący phishing często fałszują
adresy źródłowe poczty elektronicznej oraz wykorzystują fałszywe witryny WWW i konie trojańskie
dostarczane skrycie za pośrednictwem przeglądarki WWW w celu wprowadzenia użytkownika w błąd
i nakłonienia go do ujawnienia poufnych informacji, takich jak numery kart kredytowych, dane pozwalające
na przeprowadzanie transakcji bankowych online czy inne tego rodzaju informacje. Jeśli użytkownicy
indywidualni stracą zaufanie do transakcji przeprowadzanych za pośrednictwem Internetu, przedsiębiorstwa
i instytucje opierające swoją działalność na takich transakcjach poniosą poważne straty finansowe.
Świadectwem nasilenia się tych zagrożeń jest wzrost liczby zablokowanych prób phishingu. W połowie lipca
2004 r. filtry przeciwdziałające oszustwom Symantec Brightmail AntiSpam™ blokowały 9 mln prób
phishingu tygodniowo. Do końca grudnia liczba ta wzrosła do średnio ponad 33 mln zablokowanych
wiadomości tygodniowo.
Firma Symantec przewiduje, że w następnym roku phishing będzie w dalszym ciągu poważnym
zagrożeniem. Obrona systemów przed atakami typu phishing jest trudna. W miarę jak rośnie
zaawansowanie technik fałszowania poczty elektronicznej i witryn internetowych, coraz trudniej jest
odróżniać legalne wiadomości i witryny od fałszywych. Firma Symantec zaleca, aby oprócz stosowania
najlepszych procedur postępowania, przedsiębiorstwa i instytucje zadbały o ogólną edukację użytkowników
w zakresie phishingu, a w szczególności aby informowały ich o nowych oszustwach tego rodzaju2. Ponadto
firma Symantec radzi użytkownikom, aby nigdy nie ujawniali informacji osobistych czy finansowych
w przypadku najmniejszych wątpliwości co do autentyczności jakiejkolwiek wiadomości e-mail lub witryny
WWW.
Wzrost zagrożeń dla bezpieczeństwa aplikacji internetowych
W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie zauważyliśmy wzrost
liczby luk w zabezpieczeniach aplikacji internetowych3. Sytuacja ta wzmaga obawy, że hakerzy będą
w najbliższej przyszłości coraz częściej atakować aplikacje internetowe. Jak się wydaje, obawy te
doprowadziły do podjęcia w minionym półroczu szeregu działań na rzecz wzmocnienia bezpieczeństwa.
Aplikacje internetowe są to technologie, które w charakterze interfejsu użytkownika wykorzystują
przeglądarkę i często są udostępniane z serwerów WWW w trybie hostingu. Zapewniają one użytkownikom
wygodną metodę współużytkowania, tworzenia lub modyfikowania treści przy użyciu przeglądarki
internetowej. Ataki na aplikacje internetowe są szczególnie niepokojące, ponieważ mogą udostępnić
informacje publicznie przez Internet. Pozwalają atakującym dostać się do poufnych informacji z bazy
danych bez łamania zabezpieczeń żadnego serwera. Umożliwiają również obejście tradycyjnych środków
ochrony brzegów sieci, takich jak zapory ogniowe. Ataki takie są szczególnie niebezpieczne, ponieważ mogą
zainfekować całą sieć po uzyskaniu dostępu do pojedynczego systemu.
Typowe luki w zabezpieczeniach aplikacji internetowych wykorzystywane przez atakujących to błędy kontroli
danych wejściowych i niewłaściwa obsługa przysyłanych żądań. Umożliwia to atakującym wykonanie
destrukcyjnego kodu na atakowanej maszynie. Na przykład w grudniu 2004 r. został wykryty robak,
określany jako Perl.Santy4, który atakuje popularną aplikację internetową phpBB.
3
4
http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html
5
Udokumentowane luki w zabezpieczeniach
800
670
600
491
369
400
200
0
styczeń-czerwiec 2004 r.
Okres
Rys. 1. Wzrost liczby luk w zabezpieczeniach aplikacji internetowych w okresie 18 miesięcy
Źródło: Symantec Corporation
W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec skatalogowała 670 luk
w zabezpieczeniach aplikacji internetowych, co stanowi prawie połowę (48%) wszystkich luk wykrytych
w tym okresie (patrz rys. 1). Wskaźnik ten jest znacznie wyższy niż w pierwszym półroczu 2004 r., gdy
wyniósł 39%. Oznacza to, że najprawdopodobniej w najbliższej przyszłości aplikacje internetowe nadal
będą celem ataków.
Firma Symantec zaleca, aby administratorzy ds. ochrony stosowali się do najlepszych procedur
postępowania opisanych w Załączniku A do niniejszego Raportu. Powinni także stale kontrolować aplikacje
internetowe pod kątem ewentualnych luk w zabezpieczeniach oraz jak najszybciej instalować programy
korygujące. Oprócz tego powinni oni dogłębnie przeanalizować zasady wdrażania i używania aplikacji
internetowych oraz ograniczyć wdrożenia tylko do takich aplikacji, które są absolutnie niezbędne
w działalności danego przedsiębiorstwa lub instytucji.
Wzrost liczby i stopnia istotności luk w zabezpieczeniach
W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała 1403 nowe luki
w zabezpieczeniach. Stanowi to wzrost o 13% w stosunku do 1237 luk wykrytych w pierwszym półroczu
2004 r. Wzrost ten oznacza, że badanie luk w zabezpieczeniach staje się popularnym rodzajem działalności
oraz że przedsiębiorstwa powinny być stale informowane o najnowszych lukach, które mogą mieć wpływ na
ich środowiska.
Prawie 97% wszystkich luk w zabezpieczeniach zgłoszonych w drugim półroczu 2004 r. zostało
zakwalifikowanych do umiarkowanego lub wysokiego poziomu istotności (co oznacza możliwość
6
częściowego lub całkowitego opanowania systemu). Ponadto, ponad 70% wszystkich zgłoszonych luk
w zabezpieczeniach zostało zakwalifikowanych jako łatwe do wykorzystania (co oznacza, że do ich
wykorzystania nie jest potrzebny specjalny kod albo że kod taki jest łatwo dostępny). Problem ten jest
dodatkowo spotęgowany faktem, że prawie 80% wszystkich udokumentowanych w badanym okresie luk
w zabezpieczeniach to luki możliwe do wykorzystania zdalnie, co zwiększa liczbę potencjalnych hakerów,
którzy mogliby je wykorzystać.
Firma Symantec zaleca, aby poza stosowaniem najlepszych procedur postępowania, przedsiębiorstwa
w dalszym ciągu monitorowały swoje systemy pod kątem ewentualnych luk w zabezpieczeniach oraz jak
najszybciej instalowały programy korygujące. Ponadto firma Symantec zaleca, aby przedsiębiorstwa
rozważyły subskrypcję usługi powiadamiania o lukach w zabezpieczeniach, która zapewni szybkie
informowanie o takich lukach.
Destrukcyjny kod i narażenie informacji poufnych na ujawnienie
Niektóre rodzaje destrukcyjnego kodu są tworzone w celu kradzieży informacji poufnych z opanowanego
systemu komputerowego. Niebezpieczeństwo ujawnienia informacji wiąże się z prawie wszystkimi rodzajami
destrukcyjnego kodu, w tym z końmi trojańskimi, robakami, wirusami i programami typu „tylne wejście” do
serwera. Po zainfekowaniu komputera przez kod destrukcyjny, atakujący może uzyskać dostęp do takich
informacji, jak adresy e-mail, przechowywane w pamięci podręcznej dane umożliwiające zalogowanie,
informacje poufne czy informacje finansowe, a także może takie informacje ujawnić bądź zmodyfikować.
W ciągu trzech ostatnich badanych okresów półrocznych liczba zagrożeń, w których istnieje możliwość
ujawnienia informacji poufnych, stale rosła. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. zagrożenia
tego rodzaju stanowiły 54% spośród 50 najczęściej otrzymywanych przez firmę Symantec próbek
destrukcyjnego kodu, podczas gdy w pierwszym półroczu 2004 r. wskaźnik ten wyniósł 44%, a w drugim
półroczu 2003 – 36%. Oznacza to wzrost o 23% w stosunku do okresu poprzedniego oraz o 50%
w stosunku do analogicznego okresu poprzedniego roku (patrz rys. 2). Nasilenie zagrożeń związanych
z narażeniem informacji wiąże się częściowo z obecnością oprogramowania typu bot i sieci komputerów
nim zainfekowanych5, które dzięki funkcjom zdalnego dostępu mogą ujawniać informacje poufne ze
Udział procentowy wśród 50 najczęściej zgłaszanych zagrożeń
złamanych systemów komputerowych.
60%
54%
50%
44%
40%
36%
30%
20%
10%
0%
Okres
Rys. 2. Zagrożenia dla informacji poufnych ze strony destrukcyjnego kodu
Źródło: Symantec
5
Boty (skrót od słowa „robot”) to programy instalowane podstępnie w maszynie użytkownika, które pozwalają nieautoryzowanym użytkownikom na zdalny dostęp do
7
Konie trojańskie są w dalszym ciągu szczególnym zagrożeniem dla informacji poufnych. Stanowią one 33%
spośród 50 próbek destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w okresie od 1 lipca
2004 r. do 31 grudnia 2004 r. Oznacza to poważny wzrost w stosunku do pierwszej połowy tego roku, gdy
konie trojańskie stanowiły 17% spośród 50 najczęściej zgłaszanych próbek. Nasilenie zgłoszeń koni
trojańskich może być częściowo związane ze wzrostem liczby przypadków wykorzystania luk
w zabezpieczeniach przeglądarek internetowych po stronie klienta6. Koń trojański może być utrzymywany
na witrynie WWW hakera, która podejmuje próbę wykorzystania specyficznej luki w zabezpieczeniach
przeglądarki WWW w celu dostarczenia kodu destrukcyjnego do atakowanego systemu.
Użytkownicy mogą zabezpieczyć się przed takimi zagrożeniami nigdy nie uruchamiając nieznanych
aplikacji, zwłaszcza otrzymanych pocztą elektroniczną bądź pobranych ze źródła, którego wiarygodność nie
jest pewna. Powinni oni także unikać logowania się do kont poczty elektronicznej opartej na WWW i do
witryn bankowych z publicznych terminali komputerowych, gdyż nie można zweryfikować integralności
takich systemów. Oprócz tego użytkownicy nie powinni używać tego samego hasła do uwierzytelniania się
w różnych aplikacjach, gdyż wówczas złamanie jednego hasła umożliwia hakerowi uzyskanie dostępu do
kilku źródeł poufnych danych. Ochronie przed złamaniem hasła sprzyja częsta zmiana haseł. Ponadto firma
Symantec zaleca użytkownikom, aby wyłączyli w przeglądarce WWW buforowanie danych (identyfikatora
i hasła) umożliwiających logowanie się do witryn internetowych.
Luki w zabezpieczeniach nowych przeglądarek
W przeszłości celem większości ataków wykorzystujących luki w zabezpieczeniach przeglądarek
internetowych był Microsoft® Internet Explorer, który jest najpopularniejszą przeglądarką. W związku z tym
wielu użytkowników Internetu zwróciło się w stronę innych przeglądarek, takich jak Mozilla, Mozilla Firefox,
Opera i Safari, uznając je za bardziej bezpieczne. Jednak w miarę jak użytkownicy zwracający uwagę na
bezpieczeństwo odchodzili od przeglądarki Internet Explorer, hakerzy podążali ich śladem. W wyniku tego
zmieniła się generalna sytuacja w dziedzinie przeglądarek i stosownie do tego niniejszy Raport firmy
Symantec na temat bezpieczeństwa w Internecie zawiera analizę luk w zabezpieczeniach różnych
przeglądarek.
Liczba wykrywanych luk w zabezpieczeniach różnych przeglądarek wykazuje tendencję wzrostową (patrz
rys. 3). W badanym okresie udokumentowano więcej luk w zabezpieczeniach przeglądarki Mozilla niż
przeglądarki Microsoft Internet Explorer. Nastąpiło zatem odwrócenie tendencji występującej w poprzednich
okresach, gdy prawie wszystkie luki w zabezpieczeniach przeglądarek dotyczyły wyłącznie przeglądarki
firmy Microsoft.
W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała 13 nowych luk
w zabezpieczeniach przeglądarki Microsoft Internet Explorer. Jest to liczba zdecydowanie niższa niż 21 luk
w zabezpieczeniach każdej z przeglądarek Mozilla, wykrytych i udokumentowanych w tym okresie.
W przeglądarce Opera wykryto 6 luk w zabezpieczeniach, a w przeglądarce Safari – ani jednej.
Chociaż udział przeglądarek Mozilla w liczbie wszystkich wykrytych w badanym okresie luk wzrósł,
w przeglądarce Microsoft Internet Explorer występuje w dalszym ciągu więcej luk zakwalifikowanych do
wysokiego poziomu istotności. Spośród 13 luk w zabezpieczeniach tej przeglądarki udokumentowanych
przez firmę Symantec w badanym okresie, 9 zaliczono do wysokiego poziomu istotności. Natomiast spośród
komputera. Umożliwiają zdalną kontrolę nad komputerem za pomocą kanałów komunikacyjnych, takich jak IRC. Kanały komunikacyjne używane są przez
atakującego do kontroli dużej liczbyrozproszonych komputerów przez jeden, niezawodny kanał w sieci komputerów zainfekowanych oprogramowaniem typu bot. Sieć
taka może zostać użyta do uruchomienia skoordynowanych ataków.
6
Luki w zabezpieczeniach po stronie klienta umożliwiają atakowanie systemów użytkowników indywidualnych (w odróżnieniu od serwerów przedsiębiorstw lub
instytucji). Obiektem ataku są takie aplikacje, jak przeglądarki WWW, klienty poczty elektronicznej, sieci równorzędne (peer-to-peer), klienty natychmiastowego
przesyłania wiadomości (komunikatory internetowe) oraz odtwarzacze multimedialne. Luki takie często, choć nie zawsze, są skutkiem błędów logicznych lub wad
systemów kontroli dostępu. Są one, zwłaszcza w przypadku przeglądarek, zazwyczaj łatwe do wykorzystania.
8
21 luk w zabezpieczeniach przeglądarki Mozilla, do wysokiego poziomu istotności zakwalifikowano 11,
a w przypadku przeglądarki Firefox – tylko 7. Chociaż wiarygodnych ataków na przeglądarki Mozilla, Mozilla
Firefox, Opera i Safari w warunkach rzeczywistej eksploatacji było niewiele (o ile w ogóle jakieś były),
dopiero przyszłość pokaże, czy przeglądarki te spełnią oczekiwania wielu użytkowników.
25
Mozilla Firefox
Mozilla Browser
Microsoft Internet Explorer
Apple Safari
Opera
20
15
10
5
0
Okres
Rys. 3. Luki w zabezpieczeniach przeglądarek udokumentowane w okresie od lipca 2003 r. do grudnia 2004 r.
Powyższe dane wskazują również, że być może zmienia się obszar zainteresowania badaczy.
Przedsiębiorstwa, instytucje i użytkownicy indywidualni starają się szybko znaleźć bezpieczniejsze
rozwiązania alternatywne wobec przeglądarki Microsoft Internet Explorer, ale powinni przy ich wyborze
zachować ostrożność, gdyż – jak się wydaje – problem luk w zabezpieczeniach może dotyczyć wszystkich
przeglądarek. Firma Symantec zaleca, by administratorzy ds. ochrony w przedsiębiorstwach oraz
użytkownicy indywidualni poświęcili dostateczną ilość czasu na zbadanie innych przeglądarek i ocenili ich
poziom bezpieczeństwa przed wdrożeniem. Ponadto administratorzy powinni subskrybować usługę
powiadamiania o lukach w zabezpieczeniach oraz niezwłocznie instalować niezbędne programy korygujące
we wszystkich systemach przedsiębiorstwa.
Wielka Brytania – kraj o największym na świecie udziale komputerów zainfekowanych
oprogramowaniem typu bot
Przygotowując niniejszą edycję Raportu firmy Symantec na temat bezpieczeństwa w Internecie, zbadaliśmy
rozkład komputerów zainfekowanych oprogramowaniem typu bot w całym Internecie. W tym celu firma
Symantec policzyła liczbę znanych komputerów zainfekowanych takim oprogramowaniem na świecie oraz
9
obliczyła, jaki odsetek z nich znajduje się w poszczególnych krajach. Zidentyfikowanie komputerów
zainfekowanych oprogramowaniem typu bot ma duże znaczenie, gdyż wysoki wskaźnik zainfekowanych
maszyn może oznaczać większe prawdopodobieństwo wystąpienia ataków z użyciem takiego
oprogramowania. Ponadto wskaźnik ten sygnalizuje stopień instalowania programów korygujących oraz
poziom świadomości użytkowników komputerów w danym regionie.
25,2% komputerów zainfekowanych oprogramowaniem typu bot wykrytych w drugim półroczu 2004 r. było
zlokalizowanych w Wielkiej Brytanii, co stawia ten kraj na pierwszym miejscu w rankingu. Według
obserwacji poczynionych przez firmę Symantec, oprogramowanie typu bot zwykle infekuje komputery
podłączone do Internetu przez łącze szybkie (szerokopasmowe). Jednym z czynników, które
prawdopodobnie wpłynęły na wzrost liczby komputerów zainfekowanych przez takie oprogramowanie
w Wielkiej Brytanii, jest mający tam miejsce szybki rozwój łączy szerokopasmowych7. Firma Symantec
przypuszcza, że nowi użytkownicy łączy szerokopasmowych mogą nie zdawać sobie sprawy z dodatkowych
środków bezpieczeństwa, jakie powinni wdrożyć w związku z używaniem szybkich, stałych łączy
internetowych. Oprócz tego pojawienie się wielu nowych użytkowników, co pociąga za sobą rozwój
infrastruktury i wzrost kosztów pomocy technicznej, może opóźnić reakcje operatorów Internetu na
zgłoszenia dotyczące nadużyć i infekcji.
Firma Symantec zaleca, by przedsiębiorstwa i instytucje wdrażały dogłębną obronę8, obejmującą zapory
ogniowe i odpowiednie filtrowanie na brzegach sieci. Ponadto administratorzy powinni subskrybować usługę
powiadamiania o lukach w zabezpieczeniach oraz niezwłocznie instalować niezbędne programy korygujące
we wszystkich systemach przedsiębiorstwa. Użytkownicy indywidualni powinni bezwzględnie mieć
wdrożone oprogramowanie antywirusowe i zaporę ogniową. Ponadto trzeba regularnie aktualizować
definicje wirusów.
Dalszy wzrost liczby wirusów i robaków na platformę Win32
Zagrożenia na platformę Win32 to programy wykonywalne działające z wykorzystaniem interfejsu
programowania (API) Win32, który stanowi podstawę opracowywania oprogramowania na systemy
operacyjne Microsoft Windows®. Ze względu na szerokie rozpowszechnienie systemów operacyjnych
Microsoft Windows w środowiskach przedsiębiorstw i użytkowników indywidualnych, wirusy i robaki na
platformę Win32 stanowią poważne zagrożenie dla bezpieczeństwa oraz integralności takich środowisk.
Zaniedbania w zakresie zapobiegania takim zagrożeniom, ich wykrywania i usuwania mogą prowadzić do
poważnych konsekwencji finansowych, ujawnienia poufnych informacji oraz utraty danych.
W 2004 r. liczba wariantów wirusów i robaków na platformę Win32 (patrz rys. 4)9 znacznie wzrosła.
W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała ponad 7360 nowych
wirusów i robaków na platformę Win32. Stanowi to wzrost o 64% w stosunku do pierwszego półrocza tego
roku, gdy liczba zgłoszonych wirusów i robaków wyniosła 4496, oraz o 332% w stosunku do drugiego
półrocza 2003 r., gdy liczba ta wyniosła 1702. W dniu 31 grudnia 2004 r. łączna liczba wariantów na
platformę Win32 była bliska 17 500. Obecnie liczba zagrożeń tej kategorii jest większa niż łączna liczba
zagrożeń opartych na technikach wykorzystujących skrypty i makra.
7
http://news.bbc.co.uk/1/hi/technology/4065047.stm
8
9
10
Dogłębna obrona (defense in depth) to podejście do ochrony, przy którym każdy system w sieci jest zabezpieczony w największym możliwym stopniu. Obejmuje
wdrożenie systemów antywirusowych, zapór ogniowych i systemów wykrywania włamań.
W niektórych przypadkach rodzina kodu destrukcyjnego, np. Mydoom czy Netsky, może obejmować kilka wariantów. Wariant jest to nowa wersja kodu z tej samej
rodziny, wykazująca pewne różnice, ale w dalszym ciągu oparta na wersji oryginalnej. W niniejszym Raporcie warianty danej rodziny są liczone jako oddzielne próbki,
gdyż różnią się funkcjonalnością.
Łączna liczba wirusów i robaków
8,000
7,360
6,000
4,496
4,000
1,702
2,000
994
445
687
0
I–VI 2002 r.
VII–XII 2002 r.
I–VI 2003 r.
VII–XII 2003 r.
I–VI 2004
VII–XII 2004
Okres
Rys. 4. Nowe wirusy i robaki na platformę Win 32 w poszczególnych półroczach lat 2002-2004
Utrzymująca się tendencja wzrostu liczby wariantów destrukcyjnego kodu na platformę Win32 wskazuje, że
pomimo szybkiego reagowania na tego typu zagrożenia, autorzy destrukcyjnego kodu w dalszym ciągu
publikują nowe mutacje, niekiedy w tempie kilku dziennie. Firma Symantec zaleca, aby administratorzy ds.
zabezpieczeń i użytkownicy często aktualizowali swoje rozwiązania antywirusowe oraz stale przestrzegali
zalecane najlepsze procedury postępowania.
Usługi finansowe – sektor, który otrzymuje największy odsetek poważnych ataków
W ramach analizy ataków internetowych firma Symantec porównuje poszczególne branże, biorąc pod
uwagę udział poważnych (o wysokim poziomie istotności) zdarzeń spowodowanych przez zewnętrznych
hakerów, wykrytych przez czujniki zainstalowane w systemach danej branży. Firma Symantec określa
stopień istotności ataku na podstawie charakterystyki ataku, środków obronnych podjętych przez klienta,
wartości zagrożonych zasobów oraz stopnia powodzenia ataku. Ataki o wysokim poziomie istotności
stanowią największe zagrożenie dla przedsiębiorstw i instytucji, gdyż mogą spowodować wielkie szkody oraz
złamać zabezpieczenia zaatakowanej sieci. Z tego względu wskaźnik ataków tego poziomu może być miarą
ryzyka, na jakie narażona jest dana branża.
W drugim półroczu 2004 r. na przedsiębiorstwa i instytucje z sektora usług finansowych skierowano
najwięcej w porównaniu z pozostałymi branżami ataków o wysokim poziomie istotności – 16 na 10 tys.
zdarzeń związanych z bezpieczeństwem. Sektor ten jest atrakcyjnym celem dla hakerów, gdyż zdarzenia
w nim przyciągają uwagę opinii publicznej jako mające związek z transakcjami finansowymi. Jest oczywiste,
że instytucje finansowe muszą podejmować odpowiednie środki w celu rozpoznania i niwelowania ryzyka
takich ataków.
11
Ze względu na poufny charakter danych w sektorze usług finansowych, firma Symantec zaleca, aby
administratorzy ds. ochrony stale kontrolowali swoje sieci pod kątem luk w zabezpieczeniach oraz jak
najszybciej instalowali programy korygujące. Administratorzy ds. ochrony powinni także ograniczyć dostęp
do tylko tych usług, które są absolutnie niezbędne, oraz egzekwować surowe zasady i procedury kontroli
połączeń.
Główne obserwacje Raportu firmy Symantec na temat bezpieczeństwa w Internecie
Tendencje dotyczące luk w zabezpieczeniach
Tendencje dotyczące ataków
• Czas upływający od ujawnienia luki
• Przez trzeci badany okres z rzędu
w zabezpieczeniach do opublikowania
najpowszechniejszym atakiem był Microsoft SQL
wykorzystującego ją destrukcyjnego kodu
Server Resolution Service Stack Overflow Attack
wydłużył się z 5,8 doby do 6,4 doby.
(poprzednio określany jako Slammer Attack).
• Firma Symantec udokumentowała 1403 nowych
luk w zabezpieczeniach, co oznacza wzrost
Został on użyty przez 22% atakujących.
• Przedsiębiorstwa i instytucje były atakowane
o 13% w stosunku do poprzedniego okresu
średnio 13,6 raza na dobę, co oznacza wzrost
sześciomiesięcznego.
w stosunku do poprzedniego okresu
• Luki w zabezpieczeniach aplikacji internetowych
stanowią 48% wszystkich ujawnionych luk, co
sześciomiesięcznego, gdy liczba ta wyniosła 10,6
raza na dobę.
oznacza wzrost w porównaniu z 39% luk
• Liczba znanych komputerów zainfekowanych
wykrytych w pierwszym półroczu 2004 r.
oprogramowaniem typu bot spadła ze średnio
30 tys. dziennie pod koniec lipca do mniej niż
• 97% ujawnionych luk w zabezpieczeniach
5 tys. dziennie pod koniec roku.
zostało zakwalifikowanych do umiarkowanego
lub wysokiego poziomu istotności.
• Wielka Brytania jest krajem, w którym występuje
największy odsetek komputerów zainfekowanych
• W drugim półroczu 2004 r. ujawniono 21 luk
oprogramowaniem typu bot.
w zabezpieczeniach przeglądarek Mozilla, a tylko
13 luk w zabezpieczeniach przeglądarki
Microsoft Internet Explorer.
• Stany Zjednoczone w dalszym ciągu są krajem,
z którego pochodzi najwięcej ataków. Na
kolejnych miejscach tego rankingu są Chiny
• 70% zgłoszonych luk w zabezpieczeniach
i Niemcy.
zostało uznanych za łatwe do wykorzystania.
• W sektorze usług finansowych wskaźnik zdarzeń
o wysokim stopniu istotności był najwyższy ze
wszystkich branż i wyniósł 16 na 10 tys.
12
Tendencje dotyczące destrukcyjnego kodu
Dodatkowe zagrożenia dla bezpieczeństwa
• W drugim półroczu 2004 r. wśród dziesięciu
• W drugim półroczu 2004 r. programy typu
najczęściej zgłaszanych próbek destrukcyjnego
adware stanowiły 5% spośród 50 najczęściej
kodu najwięcej było wariantów programów
zgłaszanych przez klientów firmy Symantec,
Netsky, MyDoom i Beagle.
podczas gdy w poprzednim badanym okresie
• Firma Symantec udokumentowała ponad 7360
nowych wirusów i robaków na platformę Win32,
wskaźnik ten wyniósł 4%.
• Pięć spośród dziesięciu najczęściej
co stanowi wzrost o 64% w stosunku do
otrzymywanych próbek programów typu adware
pierwszego półrocza tego roku.
było instalowanych za pośrednictwem
• Programy destrukcyjne, które groziły
ujawnieniem informacji poufnych, stanowiły 54%
spośród 50 najczęściej zgłaszanych próbek
destrukcyjnego kodu, co oznacza wzrost
w stosunku do poprzedniego badanego okresu,
gdy wskaźnik ten wyniósł 44%.
przeglądarki WWW. Dziewięć spośród dziesięciu
najczęściej zgłaszanych programów
szpiegowskich było włączonych do innego
oprogramowania.
• Najczęściej zgłaszanym w drugim półroczu
2004 r. programem typu adware był Iefeats,
którego udział wśród dziesięciu najczęściej
• Pod koniec badanego okresu znanych było 21
zgłaszanych programów tego typu wyniósł 36%.
próbek destrukcyjnego kodu atakujących
aplikacje mobilne, podczas gdy w czerwcu
2004 r. znano tylko jeden taki kod.
• Najczęściej zgłaszanym w drugim półroczu
2004 r. programem szpiegowskim był
Webhancer, którego udział wśród dziesięciu
• W rankingu dziesięciu najczęstszych próbek
destrukcyjnego kodu wystąpiły dwa przykłady
najczęściej zgłaszanych programów tego typu
wyniósł 38%.
oprogramowania typu bot, podczas gdy
w poprzednim badanym okresie wystąpił tylko
jeden.
• W okresie od 1 lipca 2004 r. do 31 grudnia
2004 r. firma Symantec wykryła 10 310 nowych
ataków typu phishing.
• Zgłoszono 4300 nowych wariantów programu
Spybot, co oznacza wzrost o 180% w stosunku
do poprzedniego okresu sześciomiesięcznego.
• Pod koniec grudnia 2004 r. filtry
przeciwdziałające oszustwom firmy Symantec
blokowały średnio ponad 33 mln prób phishingu
tygodniowo, podczas gdy na początku lipca
liczba ta wynosiła ok. 9 mln tygodniowo.
• Firma Symantec stwierdziła 77-procentowy
wzrost ilości spamu w przedsiębiorstwach,
których systemy były monitorowane pod tym
kątem.
13
Tendencje dotyczące ataków
Niniejszy rozdział Raportu firmy Symantec na temat bezpieczeństwa w Internecie zawiera analizę ataków
internetowych w okresie od 1 lipca do 31 grudnia 2004 r. „Atak” może być zdefiniowany jako dowolna
działalność o charakterze destrukcyjnym przeprowadzana za pośrednictwem sieci, wykryta przez system
wykrywania włamań lub zaporę ogniową. Atak zazwyczaj jest próbą wykorzystania luki w zabezpieczeniach
oprogramowania bądź sprzętu. Aktywność ataków w badanym okresie zostanie porównana z dwoma
poprzednimi okresami, opisanymi we wcześniejszych wydaniach Raportu firmy Symantec na temat
bezpieczeństwa w Internecie10. W przypadkach, których to dotyczy, podajemy zalecenia dotyczące
niwelowania zagrożeń ze strony ataków, w szczególności powołując się na najlepsze procedury
postępowania firmy Symantec zawarte w Załączniku A do niniejszego Raportu.
Firma Symantec stworzyła jedno z najpełniejszych na świecie źródeł danych o atakach internetowych. Dane
są zbierane przez ponad 20 tys. czujników zainstalowanych w przeszło 180 krajach w ramach systemu
zarządzania zagrożeniami Symantec DeepSight™ Threat Management System oraz usług zarządzania
ochroną Symantec Managed Security Services. Oprócz tych źródeł, firma Symantec opracowała i wdrożyła
system honeypot11, który służy do rozpoznawania, obserwowania oraz badania pełnego przebiegu ataków,
zarówno z użyciem robaków jak i innych. Dostarcza on jakościowe dane na temat niektórych rodzajów
ataków omówionych w niniejszym rozdziale. Wszystkie te zasoby łącznie dają firmie Symantec znakomite
możliwości rozpoznawania pojawiających się ataków, badania ich oraz reagowania na nie. Poniższe
omówienie opiera się na danych dostarczonych przez wszystkie te źródła.
Dla celów niniejszego Raportu zdarzenia o charakterze ataków zostały podzielone na trzy kategorie:
rekonesanse (sondowanie), ataki z użyciem robaków oraz ataki bez użycia robaków (wykorzystanie luk
w zabezpieczeniach). Taka klasyfikacja pozwala analitykom firmy Symantec na rozróżnienie pomiędzy
atakami rozprzestrzeniającymi się samodzielnie (robaki), atakami przeprowadzanymi ręcznie (bez użycia
robaków) oraz atakami mającymi na celu pozyskanie informacji.
W niektórych przypadkach trudno jest jednak stwierdzić, czy zdarzenie o charakterze ataku jest związane
z użyciem robaka. W takich przypadkach ataki, które zazwyczaj wiążą się z użyciem robaków, są zaliczane
do kategorii robaków. Ponadto dla celów niniejszego Raportu przyjęto, że użycie tylnych wejść
i oprogramowania do zdalnego dostępu w celu tworzenia sieci komputerów-zombie (sieci komputerów
zainfekowanych oprogramowaniem typu bot) również jest klasyfikowane jako atak z użyciem robaków.
Urządzenia ochronne mogą monitorować ataki i inne podejrzane operacje na wielu różnych poziomach
sieci. Urządzenia takie jak systemy wykrywania włamań i ochrony przed włamaniami, zapory ogniowe, filtry
proxy oraz instalacje antywirusowe zwiększają ogólne bezpieczeństwo przedsiębiorstwa lub instytucji.
Symantec gromadzi dane z wielu spośród takich urządzeń. Jedną z konsekwencji takiego gromadzenia
danych z wielu źródeł jest to, że dane o destrukcyjnym kodzie i dane o tendencjach w zakresie ataków
często dotyczą tych samych zagrożeń, ale widzianych w innym aspekcie. Na przykład dane o tendencjach
w zakresie ataków prowadzą do powstania rankingu opartego na liczbie zainfekowanych systemów,
z których podejmowane są próby ataków, natomiast dane o destrukcyjnym kodzie są oparte na szeregu
różnych źródeł, w tym doniesieniach o infekcjach. Powoduje to, że w poszczególnych rozdziałach
niniejszego Raportu, tj. „Tendencje dotyczące ataków” i „Tendencje dotyczące destrukcyjnego kodu”,
rankingi zagrożeń są różne.
10
11
14
Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. V (marzec 2004 r.) i VI (wrzesień 2004 r.) – oba raporty dostępne są pod adresem
http://enterprisesecurity.symantec.com/content.cfm?articleid=1539.
Honeypot (dosł. garnek miodu) to system podłączony do Internetu jako przynęta. Umożliwia on hakerom dostanie się do systemu w celu zaobserwowania ich
poczynań.
W niniejszym rozdziale Raportu firmy Symantec na temat bezpieczeństwa w Internecie zostaną omówione
następujące tematy:
• Najczęstsze ataki internetowe
• Dzienna liczba ataków
• Rodzaje ataków
• Najczęściej atakowane porty
• Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi
• Ataki typu odmowa usługi
• Kraje o największym odsetku komputerów zainfekowanych oprogramowaniem typu bot
• Kraje najczęściej inicjujące ataki
• Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu
• Ataki ukierunkowane na poszczególne branże
• Wskaźnik poważnych ataków w poszczególnych branżach
Najczęstsze ataki internetowe
Najczęstsze ataki wykrywane przez Symantec Managed Security Services i Symantec DeepSight Threat
Management System odpowiadają tym, których prawdopodobieństwo zaobserwowania przez
administratorów w ich własnych sieciach jest największe. Ranking ten obejmuje ataki z udziałem robaków,
gdyż stanowią one znaczną część ataków, przed którymi nadal muszą się bronić firmy i instytucje.
Analiza najczęstszych ataków opiera się na wyznaczeniu procentu wszystkich atakujących adresów IP,
z których przeprowadzono atak danego typu. W pierwszym półroczu 2004 r. sześć spośród dziesięciu
najczęstszych ataków stanowiły nowe pozycje, co oznacza, że sytuacja w dziedzinie zagrożeń ulega
znacznym zmianom. Natomiast w badanym okresie od 1 lipca do 31 grudnia 2004 r. na liście dziesięciu
najczęstszych ataków znalazły się tylko trzy nowe pozycje (patrz tab. 1), co wskazuje, że środowisko
zagrożeń bezpieczeństwa informacji może się stabilizować.
VII–XII 2004
I–VI 2004
Pozycja
Pozycja
w bieżącym okresie w poprzednim okresie
1
1
Microsoft SQL Server Resolution
Service Stack Overflow Attack
2
nieujęty w rankingu Generic TCP Syn Flood Denial of
Service Attack
VII–XII 2004
Procent atakujących
w obecnym okresie
22%
I–VI 2004
Procent atakujących
w poprzednim okresie
15%
12%
brak danych
3
10
Microsoft Windows DCOM RPC
Interface Buffer Overrun Attack
7%
1%
4
6
Generic SMTP Malformed
Command/Header Attack
5%
2%
2
W32.HLLW.Gaobot Attack Version
4%
4%
5
6
nieujęty w rankingu Generic Invalid HTTP String Attack
4%
NA
7
7
Generic ICMP Flood Attack
3%
2%
8
3
Generic WebDAV/Source Disclosure
“Translate: f” HTTP Header Request
Attack
2%
4%
9
Generic HTTP Directory Attack
9
10
nieujęty w rankingu Generic UTF8 Encoding in URL
Attack
2%
1%
2%
brak danych
Tabela 1. Najczęstsze ataki
15
Najczęściej występującym atakiem w okresie od 1 lipca do 31 grudnia 2004 r. był Microsoft SQL Server
Resolution Service Stack Overflow Attack. Przeprowadzono go z 22% atakujących adresów IP. Jest to
kontynuacja tendencji obserwowanej w pierwszym półroczu 2004 r., gdy atak ten również był najbardziej
rozpowszechniony. Należy zauważyć, że w poprzednim badanym okresie atak ten był określany jako
Slammer Attack, ponieważ większość zdarzeń o tym charakterze była związana z oryginalnym robakiem
Slammer. Jednak obecnie znane są również inne przykłady destrukcyjnego kodu używające tego typu
ataku, w związku z czym firma Symantec powróciła do jego pierwotnej nazwy.
Drugie półrocze 2004 r. jest trzecim z rzędu badanym okresem, w którym atak Microsoft SQL Server
Overflow Attack zajął pierwszą pozycję w omawianym tu rankingu. Taka stała wysoka pozycja jest
spowodowana trzema czynnikami. Po pierwsze, wiele zagrożeń (łącznie z oryginalnym robakiem Slammer)
wykorzystuje tę lukę w zabezpieczeniach używając pojedynczego pakietu UDP. Użycie standardu UDP
umożliwia przeprowadzanie tego ataku ze sfałszowanych źródłowych adresów IP12, co może znacznie
zwiększać liczbę obserwowanych źródłowych adresów. Fałszowanie adresów źródłowych ułatwia ukrycie
faktycznej lokalizacji źródła ataku, a tym samym znacznie utrudnia badanie ataku i odpowiednie
reagowanie. Chociaż Slammer nie fałszował adresów źródłowych, inne mechanizmy ataku oparte na tej
samej koncepcji mogą to robić. Analiza adresów źródłowych wskazuje, że nawet do 10% źródłowych
adresów atakujących systemów to adresy sfałszowane, które w rzeczywistości nie istnieją.
Po drugie, użycie standardu UDP umożliwia hakerowi wysłanie kompletnego ataku13 na każdy adres IP, bez
względu na to, czy SQL Server jest zainstalowany na danym systemie i czy działa. Oznacza to, że systemy
wykrywania włamań często interpretują każdą próbę ataku jako pełen atak.
Trzecim czynnikiem, który może wpłynąć na liczbę systemów podatnych na ten atak, a tym samym na
liczbę atakujących systemów, jest wdrożenie MSDE (Microsoft Desktop Engine). Komponent MSDE jest
włączony do wielu aplikacji innych producentów i instalowany wraz z nimi. Jest to wariant mechanizmu
serwera SQL firmy Microsoft, co oznacza, że jest w takim samym stopniu, jak SQL Server, wrażliwy na ataki
robaka Slammer i inne ataki związane nim. Rozpoznanie takich systemów i zainstalowanie w nich
odpowiednich programów korygujących może być trudne, zaś instalowanie w systemie w trakcie jego
eksploatacji oprogramowania zawierającego niezabezpieczoną wersję MSDE może spowodować, że
bezpieczny dotąd system stanie się podatny na atak.
Drugim najczęstszym atakiem w drugim półroczu 2004 r. był TCP Syn Flood Denial of Service Attack, który
został przeprowadzony z 12% atakujących systemów. Należy zauważyć, że niektóre związane z tym
atakiem sygnatury rejestrowane przez systemy wykrywania włamań mogą sprzyjać występowaniu fałszywych
trafień, co z kolei może zwiększyć liczbę wykrywanych ataków. Pomimo to firma Symantec uważa, że
częstość występowania tego ataku jest znaczna. Atak ten, mający charakter niespecyficznego ataku typu
odmowa usługi (DoS), w poprzednim okresie nie wszedł do rankingu dziesięciu najczęstszych ataków. Jego
cechą charakterystyczną jest generowanie ogromnej liczby żądań do usługi internetowej działającej na
atakowanym komputerze, co powoduje jego przeciążenie. Każdą sesję TCP inicjuje pakiet SYN.
Przeciążenie atakowanego systemu wielką liczbą pakietów SYN z żądaniami, bez zakończenia poprzednich
żądań, uniemożliwia przetwarzanie uprawnionych żądań. W przypadku tego typu ataków haker często
fałszuje adres źródłowy pakietów, aby uzyskać maksymalny efekt, co może zwiększać liczbę wykrywanych
systemów atakujących.
12
Określenie „sfałszowany” (spoofed) odnosi się do praktyki ustanawiania połączenia z podaniem nieprawdziwego adresu nadawcy. Zazwyczaj haker realizuje to przez
wykorzystanie relacji zaufania istniejącej pomiędzy adresem lub systemem źródłowym a adresem lub systemem docelowym. Adres IP używany jako sfałszowany adres
źródłowy może być zarówno legalnym adresem używanym gdzieś w Internecie, jak i adresem spoza alokowanej przestrzeni adresów IP, czyli adresem nieużywanym.
13
Protokół UDP nie wymaga żadnej synchronizacji przed wysłaniem danych i ich przyjęciem przez usługę docelową, w odróżnieniu od protokołu TCP, gdzie przekazanie
właściwych danych poprzedza trzystopniowe uzgodnienie synchronizujące systemy. W związku z tym, ataki wykorzystujące TCP występują jedynie wtedy, gdy
atakowana usługa zaakceptuje połączenie. W przypadku UDP, atakujący system po prostu wysyła pełny atak bez sprawdzania, czy usługa znajduje się w trybie
nasłuchu.
16
Nasilenie tego tradycyjnego ataku typu odmowa usługi jest intrygujące. Wskazuje to, że chociaż hakerzy
eksperymentowali już z nowymi formami ataków typu DoS (głównie z użyciem sieci komputerów
zainfekowanych oprogramowaniem typu bot), teraz przypuszczalnie wracają do bardziej tradycyjnych metod
przeprowadzania takich ataków14. W sytuacji, gdy wzrastała liczba sieci komputerów zainfekowanych
oprogramowaniem typu bot i dostępność hostów podatnych na takie ataki (z powodu luk
w zabezpieczeniach usług DCOM RPC, LSASS i innych włączonych domyślnie usług systemu Windows),
hakerzy mogli stosunkowo łatwo uruchomić setki lub tysiące zainfekowanych komputerów, które przeciążały
atakowany system poprawnymi żądaniami. Jednak – jak się wydaje – wprowadzenie pakietu serwisowego
Windows XP SP215 i innych środków zapobiegawczych ograniczyło liczbę komputerów podatnych na ten
atak. W konsekwencji zmalała także liczba komputerów zainfekowanych oprogramowaniem typu bot,
których można używać do skanowania. W sytuacji, gdy hakerzy mają do dyspozycji mniej takich
komputerów, wracają do starszych technik atakowania docelowych systemów. (Dokładniejsze omówienie
tego tematu znajduje się w podrozdziale „Sieci komputerów zainfekowanych oprogramowaniem typu bot
i ataki typu odmowa usługi”).
Przed atakami typu odmowa usługi można zabezpieczać się na różne sposoby. W przypadku ataku
polegającego na zalewie pakietami SYN, często stosuje się takie parametry konfiguracji systemów
operacyjnych i zapór ogniowych, które zapewniają dostępność zasobów niezbędnych do obsługi legalnych
żądań. Administratorzy powinni zapoznać się z metodami prawidłowego dostrajania swoich systemów oraz
zapewnić sobie pomoc operatora Internetu przy filtrowaniu od strony zewnętrznej ruchu przychodzącego
związanego z atakami typu odmowa usługi.
Trzecią pozycję w rankingu najczęstszych ataków w okresie od 1 lipca do 31 grudnia 2004 r. zajął Microsoft
Windows DCOM RPC Interface Buffer Overflow Attack. Jego pozycja w rankingu ponownie wzrosła po
spadku na dziesiątą w pierwszym półroczu 2004 r. Atak ten jest znany przede wszystkim z tego, że był
użyty przez robaka Blaster16 do rozprzestrzeniania się w 2003 r., ale później był także używany przez
rozmaite przykłady oprogramowania typu bot, takie jak Gaobot, Spybot i Randex17. Wysoka pozycja
omawianego ataku w rankingu wskazuje, że hakerzy w dalszym ciągu używają tej samej luki
w zabezpieczeniach do atakowania systemów. Analiza danych z systemu honeypot firmy Symantec
wskazuje, że większość prób ataków jest przeprowadzanych z komputerów zainfekowanych różnymi
wariantami programów Gaobot i Spybot lub innymi aplikacjami typu bot.
Administratorzy systemów mogą zmniejszyć zagrożenie ze strony tej luki w zabezpieczeniach filtrując ruch
w portach TCP 135 i TCP 445 na brzegach sieci. Jednak robaki i inne przykłady destrukcyjnego kodu
usiłujące wykorzystać luki w zabezpieczeniach za pośrednictwem tych portów mogą niekiedy ominąć
zabezpieczenia brzegów wykorzystując komputer łączący się z siecią przedsiębiorstwa przez wirtualną sieć
prywatną bądź komputer przenośny, np. notebook. Z tego względu, aby zahamować powiększanie się szkód
w przypadku infekcji, należy wdrożyć blokowanie na brzegach sieci oraz mocne filtrowanie pomiędzy jej
logicznymi segmentami w celu ograniczenia propagacji. Prawdopodobieństwo infekcji można znacznie
zmniejszyć stosując surowe zasady konfigurowania systemów i kontroli we wszystkich komputerach, które
nie są chronione zaporą ogniową.
Pozycja programu Gaobot w rankingu spadła z drugiej w pierwszej połowie 2004 r. na piątą w drugiej
połowie tego roku. Gaobot to program typu bot, którym umożliwia hakerowi przejęcie kontroli nad dużą
14
Dalsze uzasadnienie dla tego wniosku jest podane w podrozdziale „Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi”.
Microsoft wprowadził pakiet serwisowy SP2 do systemu Windows XP w sierpniu 2004 r. Dokładny termin wprowadzenia był różny dla poszczególnych wersji i
wariantów językowych tego systemu. Pakiet SP2 do wersji Windows XP Home Edition został udostępniony w serwisie Windows Update w dniu 16 sierpnia 2005
r. Zawiera on korekty błędów w zabezpieczeniach, korekty ustawień (aktywacja zapory ogniowej XP), funkcję monitorowania statusu aplikacji antywirusowych i
zapór ogniowych innych firm oraz funkcję ograniczenia przepływności, która pozwala kontrolować ilość ruchu w połączeniach wychodzących obsługiwanych
przez dany komputer. Wszystkie te środki zmniejszają możliwości hakerów włączenia komputera do rozproszonej sieci komputerów zainfekowanych
oprogramowaniem typu bot.
16
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
17
Pełne omówienie wzrostu liczby wariantów oprogramowania typu bot podajemy w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu.
15
17
liczbą oddzielnych systemów oraz zmuszenie ich do wyszukiwania nowych systemów, a następnie
wykorzystywania luk w ich zabezpieczeniach i przejmowania nad nimi kontroli. Można do niego łatwo
dodawać nowe funkcje atakujące nowo odkrywane luki w zabezpieczeniach, co powoduje, że bardzo
szybko po opublikowaniu destrukcyjnego kodu wykorzystującego luki w zabezpieczeniach dochodzi do
masowej infekcji systemów, na których nie zostały zainstalowane odpowiednie programy korygujące.
Wskutek tego Gaobot jest w dalszym ciągu poważnym zagrożeniem dla każdego przedsiębiorstwa
i instytucji, które używają systemów Windows, ale nie instalują dostatecznie szybko nowych programów
korygujących luki w zabezpieczeniach. Poza szybkim wdrażaniem programów korygujących o znaczeniu
krytycznym, ryzyko infekcji można zmniejszyć stosując osobiste zapory ogniowe (zapory ogniowe
w komputerach osobistych). (Więcej informacji na temat działania sieci komputerów zainfekowanych
oprogramowaniem typu bot podajemy w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego
Raportu).
Dzienna liczba ataków
W podrozdziale tym omówiono liczbę ataków obserwowanych każdego dnia przez firmy i instytucje
podłączone do Internetu. Liczba prób ataków, których doświadcza firma w danym okresie może być
dobrym wskaźnikiem ogólnej skali ataków w Internecie. Dzienna częstość ataków jest określana na
podstawie liczby wykrytych ataków skierowanych przeciwko firmie znajdującej się na środkowej pozycji
w próbie.
W okresie od 1 lipca do 31 grudnia 2004 r. średnia dzienna liczba ataków obserwowanych przez
przedsiębiorstwa lub instytucje z badanej próby wyniosła 13,6 (patrz rys. 5). W poprzednim okresie
sześciomiesięcznym wskaźnik ten wyniósł 10,6 ataków dziennie. Dla porównania dodajmy, że w drugim
półroczu 2003 r. przedsiębiorstwa i instytucje obserwowały średnio 12,6 ataków dziennie.
Wzrost liczby ataków o 3 dziennie jest spowodowany zwiększeniem liczby sond oraz wzrostem liczby
ataków bez wykorzystania robaków. Poprzednio, gdy w badanym okresie obserwowano wzrost dziennej
liczby ataków, było to spowodowane przede wszystkim aktywnością robaków. Natomiast w obecnie
badanym okresie było inaczej, gdyż aktywność robaków spadła w porównaniu z poprzednimi okresami,
a wzrost liczby ataków był spowodowany w większej części atakami bez wykorzystania robaków. Ta zmiana
w strukturze typów ataków została dokładniej omówiona w podrozdziale „Rodzaje ataków”.
18
13.6
Dzienna liczba ataków
12.6
12
10.6
6
0
VI–XII 2003 r. (wyd. V Raportu)
I–VI 2004 r. (wyd. VI Raportu)
VII–XII 2004 r. (niniejszy Raport)
Okres (wyd. Raportu)
Rys. 5. Dzienna liczba ataków w trzech ostatnich okresach półrocznych
18
Rodzaje ataków
W celu lepszego poznania obecnych ataków internetowych oraz wypracowania skutecznych metod ochrony
przed nimi, pomocne jest zaznajomienie się z konkretnymi typami ataków występujących w sieci.
W niniejszym podrozdziale omówiono ataki, jakie wystąpiły w ostatnim półroczu, w rozbiciu na trzy rodzaje:
rekonesanse, ataki z wykorzystaniem robaków oraz ataki bez wykorzystania robaków. W analizie
zaprezentowano procentowy udział ataków danego rodzaju w łącznej liczbie wykrytych ataków (patrz rys. 6).
Ataki bez wykorzystania robaków
Rekonesanse
Ataki z wykorzystaniem robaków
Udział procentowy we wszystkich atakach
100%
34%
80%
41%
42%
60%
13%
49%
40%
47%
20%
45%
17%
0%
VII–XII 2003 r. (wyd. V Raportu)
I–VI 2004 r. (wyd. VI Raportu)
12%
VII–XII 2004 r. (niniejszy Raport)
Okres (wyd. Raportu)
Rys. 6. Rozkład ataków poszczególnych kategorii w okresie od 1 lipca do 31 grudnia 2004 r.
W okresie od 1 lipca do 31 grudnia 2004 r., 47% wykrytych ataków zostało zaliczonych do kategorii
rekonesanse. Jest to wskaźnik zbliżony do pierwszego półrocza tego roku, gdy jako próby rekonesansów
zaklasyfikowano 49% ataków. W dalszym ciągu znaczny udział w atakach tego typu ma skanowanie
w poszukiwaniu usług z tylnymi wejściami, udostępnianych w portach o wysokich numerach (tj. powyżej
1023). Zjawisko szeroko zakrojonego skanowania w poszukiwaniu takich usług z tylnymi wejściami stale
nasilało się na przestrzeni ostatnich trzech badanych okresów i należy przypuszczać, że będzie się nasilało
nadal.
Istnieje szereg metod zaradczych, które należy stosować, aby uniemożliwić znalezienie podatnego na atak
celu. Administratorzy powinni dopilnować, by w systemach działało oprogramowanie antywirusowe
z aktualnymi definicjami. Firma Symantec zaleca także wdrożenie silnego filtrowania na brzegach sieci oraz
rejestrowanie połączeń w dzienniku. Oprócz tego administratorzy powinni rejestrować w dzienniku
połączenia wychodzące w celu rozpoznania ewentualnych zainfekowanych maszyn wewnątrz sieci.
19
W drugim półroczu 2004 r. udział ataków z wykorzystaniem robaków w ogólnej liczbie ataków wyniósł tylko
12% (patrz rys. 6), co jest najniższym wskaźnikiem na przestrzeni ostatnich czterech badanych okresów
półrocznych. Od pierwszego półrocza 2003 r., gdy wskaźnik ten wyniósł 59%, aktywność robaków stale
maleje. Największy spadek nastąpił pomiędzy drugim półroczem 2003 r. a pierwszym półroczem 2004 r.,
gdy wskaźnik ten zmniejszył się z 45% do 17%.
Niewielki udział ataków z wykorzystaniem robaków może być wyjaśniony faktem, że w badanym okresie nie
wykryto żadnej rozległej infekcji tradycyjnymi robakami. Trzeba jednak zaznaczyć, że duża aktywność
oprogramowania typu bot i półautonomicznych narzędzi do wykorzystywania luk w zabezpieczeniach
utrudnia rozróżnianie między atakami z wykorzystaniem robaków a atakami bez wykorzystania robaków.
Jeśli tendencja ta będzie nadal narastać, może okazać się konieczne zrezygnowanie z rozróżniania między
tymi dwiema formami ataków.
Podczas gdy na przestrzeni trzech ostatnich badanych okresów aktywność robaków spadała, w dziedzinie
ataków bez wykorzystania robaków nie daje się zaobserwować żadnej długoterminowej tendencji.
Zwróciliśmy na to uwagę już w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa
w Internecie18. Wskaźnik ataków bez wykorzystania robaków zachowywał się w sposób zmienny – w drugim
półroczu 2003 r. był najwyższy i wynosił 42%, podczas gdy w pierwszym półroczu 2004 r. był najniższy
i wynosił 34%. W drugim półroczu 2004 r. znowu wzrósł i wyniósł 41%. Firma Symantec uważa, że zestawy
narzędziowe służące do opracowywania ataków bez wykorzystania robaków zawierają kod wykorzystujący
zarówno starsze luki w zabezpieczeniach, jak i nowo pojawiające się luki w zabezpieczeniach aplikacji
internetowych oraz luki po stronie klienta, co przyczynia się do stosunkowo stabilnego obrazu ataków tego
typu.
W przeszłości wystarczającym zabezpieczeniem przed zagrożeniami internetowymi były systemy
wykrywania włamań do sieci. Jednak obecnie, gdy coraz częściej występują ataki na aplikacje internetowe
oraz ataki wykorzystujące luki w zabezpieczeniach po stronie klienta, a zwłaszcza ataki na przeglądarki
i ataki z użyciem destrukcyjnego kodu osadzonego np. w plikach graficznych, skuteczność tradycyjnych
systemów wykrywania włamań staje się problematyczna. Równocześnie utrudnia to podział na rekonesanse,
ataki z wykorzystaniem robaków i ataki bez wykorzystania robaków. W miarę rozwoju tych tendencji,
zwłaszcza w dziedzinie ataków na aplikacje internetowe i ataków na systemy klienckie, niezbędne będzie
opracowanie nowej klasyfikacji oraz nowych systemów wykrywania włamań spełniających nowe wymagania.
Należy przypuszczać, że ten rozdział Raportu firmy Symantec na temat bezpieczeństwa w Internecie będzie
musiał w przyszłości stosować rozszerzoną typologię, która uwzględni pojawiającą się klasę ataków na
aplikacje internetowe.
Najczęściej atakowane porty
System Symantec DeepSight Threat Management System śledzi najczęściej atakowane porty w oparciu
o zdarzenia wykrywane przez czujniki zainstalowane w zaporach ogniowych objętych badaniem (patrz tab.
2). Najlepszym kryterium oceny intensywności atakowania danego portu jest liczba adresów IP (bez
powtórzeń), z których wychodzą ataki na niego. Miara ta odzwierciedla jedynie zainteresowanie hakera tym
portem, natomiast nie zakłada, że z wykrytym zdarzeniem musi się wiązać atak (np. na specyficzną usługę)
bądź usiłowanie uzyskania informacji przydatnych do ataku. Niedostępność informacji definitywnie
wskazujących na atak powoduje, że niemożliwe jest oddzielenie ataków z wykorzystaniem robaków od
18
20
Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI, wrzesień 2004 r., str. 10: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539
ataków służących do zebrania informacji bądź prób wykorzystania luk w zabezpieczeniach. Omawiany
ranking jedynie wskazuje i liczy odrzucone próby połączenia, co oznacza, że dane te nie uwzględniają
uprawnionych operacji wykonywanych w badanych portach.
Pozycja
w rankingu
(VII–XII 2004)
Pozycja
w rankingu
(I–VI 2004)
VII–XII 2004
Procent
atakujących
I–VI 2004
Procent
atakujących
Port
Opis usługi
1
2
445 TCP
CIF (Microsoft file sharing)
35%
17%
2
3
135 TCP
DCE-RPC (remote Microsoft
Windows communication)
17%
15%
3
4
7
1026 UDP
Various dynamic services
8%
3%
4
4662 TCP
Edonkey (file sharing)
6%
7%
Various dynamic services
5%
brak danych
Gnutella (file sharing)
5%
5%
SMB (Microsoft file sharing)
4%
brak danych
1025 TCP
Various backdoors and
dynamic services
2%
3%
9
nieujęty w rankingu 1434 UDP
Microsoft SQL services
2%
brak danych
10
nieujęty w rankingu 25 TCP
SMTP services
2%
brak danych
5
6
7
8
nieujęty w rankingu 1027 UDP
5
6346 TCP
nieujęty w rankingu 139 TCP
10
Tabela 2. Najczęściej atakowane porty
W okresie od 1 lipca do 31 grudnia 2004 r. najczęściej atakowanym portem był port TCP 445, który
atakowało 35% wszystkich atakujących systemów. Jest on powszechnie używany przez usługi
współużytkowania plików i drukarek firmy Microsoft (często określane jako SMB lub CIFS). Poza
współużytkowaniem plików, za pośrednictwem tego portu są udostępniane inne funkcje zdalnego
zarządzania, w tym niektóre funkcje RPC (zdalne wywoływanie procedur), co przypuszczalnie jest
przyczyną częstego wykorzystywania tego portu przez hakerów. W pierwszym półroczu 2004 r. port TCP
445 zajmował drugą pozycję w rankingu najczęściej atakowanych portów. Znaczna część ataków na ten
port wiąże się z utrzymującą się aktywnością robaka Sasser19.
Analiza przeprowadzona przez system honeypot firmy Symantec wykazuje, że oprogramowanie typu bot,
w tym różne warianty robotów Spybot i Gaobot, atakuje port TCP 445 bardzo często. Celem ataków
przeprowadzanych przez ten port są najczęściej luki w zabezpieczeniach określane jako Microsoft Windows
LSASS Buffer Overrun Vulnerability20 i Microsoft Windows DCOM RPC Interface Buffer Overflow
Vulnerability21. Oprócz wykorzystywania powyższych luk w zabezpieczeniach, niektóre ataki występują, gdy
łatwy do odgadnięcia identyfikator użytkownika i hasło pozwala hakerowi uzyskać bezpośredni dostęp do
współużytkowanego zasobu plikowego.
Port TCP 445 jest zwykle dobrze chroniony na brzegach sieci. Jednak robaki i inne przykłady
destrukcyjnego kodu usiłujące wykorzystać luki w zabezpieczeniach za pośrednictwem tego portu mogą
niekiedy ominąć zabezpieczenia brzegów wykorzystując komputer łączący się z siecią przedsiębiorstwa
19
20
21
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
http://www.securityfocus.com/bid/10108
21
przez wirtualną sieć prywatną bądź komputer przenośny, np. notebook. Z tego względu, aby zahamować
powiększanie się szkód w przypadku infekcji, należy wdrożyć blokowanie na brzegach sieci oraz mocne
filtrowanie pomiędzy jej logicznymi segmentami w celu ograniczenia propagacji. Prawdopodobieństwo
infekcji można znacznie zmniejszyć stosując surowe zasady konfigurowania systemów i kontroli we
wszystkich komputerach, które nie są chronione zaporą ogniową.
Drugą pozycję w rankingu najczęściej atakowanych w okresie od 1 lipca do 31 grudnia 2004 r. portów zajął
port TCP 135. W pierwszym półroczu tego roku port ten był na trzeciej pozycji w tym rankingu. Nastąpił
niewielki wzrost odsetka systemów atakujących ten port – od 15% w pierwszym półroczu 2004 r. do 17%
w drugim półroczu tego roku.
Port TCP 135 jest związany z usługą firmy Microsoft pod nazwą RPC (Remote Procedure Call – zdalne
wywoływanie procedur), działającą na komputerach z systemem Microsoft Windows. Większość aktywności
wykrytej w okresie od 1 lipca do 31 grudnia 2003 r. była związana z robakami Blaster22 i Welchia23, które
rozpowszechniały się w tamtym okresie bardzo efektywnie. W roku 2003 ataki na port TCP 135 osiągnęły
maksimum nasilenia i były wówczas wyprowadzane z prawie jednej trzeciej atakujących systemów. Od
czasu epidemii tych wirusów port TCP 135, podobnie jak port TCP 445, stał się popularnym celem ataków
hakerów usiłujących tworzyć sieci komputerów zainfekowanych oprogramowaniem typu bot. Oba porty są
intensywnie atakowane przez programy Spybot i Gaobot.
Podobnie jak port TCP 445, port TCP 135 jest zazwyczaj dobrze kontrolowany na brzegach sieci, jednak
robaki i inne programy destrukcyjne mogą ominąć ochronę brzegową, wykorzystując komputery łączące się
z siecią przez wirtualną sieć prywatną lub komputer y przenośne. Z tego względu, aby zapobiec
potencjalnym szkodom spowodowanym atakami na ten port, firma Symantec zaleca wdrożenie zapór
ogniowych w komputerach osobistych (osobistych zapór ogniowych), a także surowych środków i zasad
kontroli konfiguracji systemów, zwłaszcza w przypadku komputerów niezabezpieczonych przez zaporę
ogniową.
Trzecim najczęściej atakowanym portem w drugim półroczu 2004 był port UDP 1026, który był atakowany
przez 8% wszystkich atakujących systemów. Oznacza to wzrost w stosunku do pierwszego półrocza
2004 r., gdy wskaźnik ten wynosił 3% i port UDP 1026 zajmował siódmą pozycję w rankingu najczęściej
atakowanych portów. W przeszłości port UDP 1026 był wykorzystywany w celu dostarczania do hostów
z systemem Microsoft Windows spamu w postaci wyskakujących okien za pośrednictwem usług RPC
i Messenger. Ułatwiający podawanie fałszywego adresu IP charakter portu UDP oznacza, że pozycję tego
portu w rankingu należy traktować z dystansem. Bez jednoznacznego dowodu wskazującego na to, czy
dane adresy są fałszywe, czy nie, nie można określić prawdziwej natury i źródła tych działań. Analiza
przeprowadzona przez system honeypot firmy Symantec wskazuje, że spam w postaci wyskakujących
komunikatów dostarczanych za pośrednictwem portu UDP 1026 jest w dalszym ciągu plagą. Chociaż jest
możliwe wykorzystanie tą samą drogą luki RPC DCOM Overflow, firma Symantec nie zaobserwowała dotąd
wzrostu tego rodzaju ataków na omawiany port.
W przeszłości najczęściej atakowanym portem był port TCP 80. Korzystają z niego serwery WWW, które są
popularnym celem ataków robaków, takich jak Code Red i Nimda. Ponadto za jego pośrednictwem są
udostępniane aplikacje internetowe, które obecnie stają się coraz częstszym celem ataków ze strony
destrukcyjnego kodu. Jednak w drugim półroczu 2004 r. port TCP 80 nie znalazł się wśród dziesięciu
najczęściej atakowanych portów. Oznacza to istotną zmianę w stosunku do pierwszego półrocza tego roku,
22
23
22
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
gdy port ten był najczęściej skanowanym portem (skanowało go 30% skanujących adresów IP).
Najważniejszą przyczyną tego spadku w rankingu jest koniec rozprzestrzeniania się robaka Welchia.B
w czerwcu, a więc akurat w ostatnim miesiącu poprzedniego badanego okresu. Robak Welchia.B został tak
opracowany, że nie rozprzestrzenia się po upływie określonej daty ważności.
Ataki na serwery WWW i aplikacje internetowe w dalszym ciągu stanowią skuteczne metody łamania
zabezpieczeń informacji. Jednak – jak wynika ze znacznego udziału portów TCP 445 i 135 – większość
ataków w dalszym ciągu polega na usiłowaniu złamania zabezpieczeń komputerów biurkowych i serwerów
oraz przejęcia nad nimi kontroli. Przykład robaka Perl.Santy24 pokazuje, że nasilone skanowanie portów nie
jest niezbędne do skutecznego ataku robaka na technologię WWW.
Robak Santy atakował lukę określaną jako PHPBB Viewtopic.PHP PHP Script Injection Vulnerability25,
występującą w zabezpieczeniu aplikacji phpBB (serwis elektronicznego biuletynu informacyjnego). Robak
ten wyszukiwał ofiary korzystając z wyszukiwarki Google, a nie przez skanowanie sieci w poszukiwaniu
serwerów WWW, jak to ma miejsce w przypadku większości robaków internetowych (np. CodeRed i Nimda).
Brak skanowania atakowanych systemów spowodował, że ataki tego robaka nie były wykazywane jako
aktywność na porcie 80. Co więcej, obiektem ataku były tylko te przedsiębiorstwa lub instytucje, które
używały podatnych aplikacji, wskutek czego nasilenie aktywności skanowania stało się znacznie trudniejsze
do wykrycia (robak Santy jest omówiony dokładniej w rozdziale „Tendencje dotyczące destrukcyjnego kodu”
niniejszego Raportu).
Port UDP 1434, który zajmuje dziewiątą pozycję w rankingu najczęściej atakowanych portów, jest używany
do ataku określanego jako Microsoft SQL Server Resolution Service Stack Overflow Attack. Niska pozycja
tego portu w rankingu prawdopodobnie wynika z faktu, że administratorzy odpowiedzialni za ochronę
zdecydowali się wyłączyć rejestrowanie prób ataków na ten port ze względu na wydajność bądź w celu
uproszczenia kontroli dziennika.
Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi
Począwszy od VI wydania Raportu firmy Symantec na temat bezpieczeństwa w Internecie (wrzesień 2004
r.), rozpoznajemy aktywność grup komputerów przeprowadzających skoordynowane skanowanie lub ataki.
Pozwala to firmie Symantec identyfikować sieci komputerów zainfekowanych oprogramowaniem typu bot
realizujące takie skoordynowane działania. Dodatkową zaletą takiej analizy jest możliwość wykrycia
niektórych typów robaków, których wykrycie przy użyciu innych metod nie byłoby możliwe. Nie należy
jednak sądzić, że zostają w ten sposób rozpoznane wszystkie takie komputery, gdyż w celu ograniczenia
liczby fałszywych trafień ataki są sygnalizowane tylko w wypadku spełnienia przez poszczególne komputery
szeregu wymagań dotyczących przebiegu ataku.
Sieć komputerów zainfekowanych oprogramowaniem typu bot jest to grupa komputerów o złamanych
zabezpieczeniach, na których haker zainstalował oprogramowanie nasłuchujące poleceń (zazwyczaj za
pośrednictwem kanału IRC) i odpowiednio reagujące na te polecenia. Pozwala to atakującemu zdalnie
kontrolować takie komputery. Oprogramowanie typu bot można zdalnie aktualizować, dołączając do niego
kod wykorzystujący nowo odkryte luki w zabezpieczeniach. Sieci komputerów zainfekowanych
oprogramowaniem typu bot są w przypadku nowych luk w zabezpieczeniach często groźniejsze niż robaki,
gdyż w celu wykorzystania takiej nowej luki nie wymagają dodatkowego kodu do rozprzestrzeniania się.
24
25
23
Znacznie ułatwia to włączanie nowych funkcji wykorzystujących luki w zabezpieczeniach. Ponadto do
takiego oprogramowania można dołączać dowolną liczbę przykładów kodu wykorzystującego luki, wskutek
czego trudno jest odróżnić atak przeprowadzony przez sieć komputerów zainfekowanych oprogramowaniem
typu bot od ukierunkowanego ataku przeprowadzonego przez jednego hakera.
W pierwszym półroczu 2004 r. analitycy firmy Symantec odnotowali stały wzrost liczby komputerów
zainfekowanych oprogramowaniem typu bot. W tym okresie średnia liczba obserwowanych dziennie
skanujących komputerów zainfekowanych takim oprogramowaniem wzrosła do ponad 30 tys.
Przypuszczano wówczas, że ta tendencja będzie się utrzymywać w miarę włączania nowych systemów do
sieci zainfekowanych komputerów. Jednak jak widać z rys. 7, ta rosnąca tendencja nie utrzymała się przez
drugie półrocze 2004 r.
W okresie od 1 lipca do 31 grudnia 2004 r. liczba obserwowanych aktywnie skanujących komputerów
zainfekowanych oprogramowaniem typu bot spadła z maksymalnej wartości ponad 30 tys. dziennie pod
koniec lipca do poniżej 5 tys. dziennie pod koniec roku. Największy spadek miał miejsce w połowie
sierpnia, a szczególnie znaczący spadek wystąpił w dniu 19 sierpnia. Moment ten był ściśle skorelowany
z udostępnieniem pakietu serwisowego SP2 do systemu Windows XP. Uzasadnione jest założenie, że ten
pakiet serwisowy, wraz z innym podejmowanymi środkami zabezpieczającymi, zdecydował o spadku liczby
rozpoznanych komputerów zainfekowanych oprogramowaniem typu bot.
Należy podkreślić, że niniejsze omówienie opiera się na obserwacji skoordynowanej i ukierunkowanej
aktywności sieci komputerów zainfekowanych oprogramowaniem typu bot. Każda znaczna zmiana działania
hakerów, zwłaszcza tworzenie mniejszych grup komputerów skanujących przez krótszy okres, może
zmniejszyć efektywność stosowanej tu metody rozpoznawania i analizowania sieci takich komputerów.
Analiza tendencji dotyczących sieci komputerów zainfekowanych oprogramowaniem typu bot, podana
w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu, wskazuje na znaczny wzrost
liczby wariantów programów typu bot oraz wzrost liczby doniesień o nich. Jednym z możliwych wyjaśnień
tej pozornej rozbieżności tendencji jest pojawienie się mniejszych sieci komputerów zainfekowanych
oprogramowaniem typu bot. Mniejsza wielkość sieci utrudnia rozpoznawanie oparte na wykrywaniu
skoordynowanego skanowania.
24
Liczba aktywnych komputerów rozpoznanych jako
zainfekowane oprogramowaniem typu bot
35,000
Średnia krocząca
Liczba komputerów zainfekowanych oprogramowaniem typu bot obserwowanych dziennie
30,000
25,000
20,000
15,000
10,000
5,000
30 XII 2004 r.
16 XII 2004 r.
2 XII 2004 r.
18 XI 2004 r.
4 XI 2004 r.
21 X 2004 r.
7 X 2004 r.
23 IX 2004 r.
9 IX 2004 r.
26 VIII 2004 r.
12 VIII 2004 r.
29 VII 2004 r.
15 VII 2004 r.
1 VII 2004 r.
0
Data
Rys. 7. Liczba komputerów rozpoznanych jako zainfekowane oprogramowaniem typu bot w okresie od 1 lipca do 31 grudnia 2004 r.
Firma Symantec zbadała spadkową tendencję skanowania przez sieci komputerów zainfekowanych
oprogramowaniem typu bot (rys. 8). Badanie to wykazało, że ten znaczny spadek liczby takich komputerów
jest związany głównie z bardzo dużym spadkiem liczby komputerów przeprowadzających skoordynowane
skanowanie portów TCP 445 i TCP 135 oraz atakujących te porty. Spadek liczby komputerów
zainfekowanych oprogramowaniem typu bot przeprowadzających skoordynowane skanowanie tych dwóch
portów jest głównym powodem spadku liczby rozpoznanych systemów zainfekowanych przez takie
oprogramowanie. Oba wymienione porty są często stosowane jako droga rozprzestrzeniania się
oprogramowania typu bot na inne systemy komputerowe, zarówno przy wykorzystaniu nieskorygowanych
luk w zabezpieczeniach, jak i przy wykorzystaniu łatwych do odgadnięcia identyfikatorów i haseł
użytkowników.
Wiele powszechnie występujących programów typu bot, w tym Gaobot, atakuje z wykorzystaniem luk
dostępnych za pośrednictwem wyżej wymienionych portów w systemie Windows i tą metodą infekuje nowe
systemy. Raptowny spadek nasilenia skanowania przeprowadzanego przez sieci komputerów
zainfekowanych oprogramowaniem typu bot wskazuje, że pakiet serwisowy SP2, obok skumulowanych
pakietów programów korygujących, skutecznie zmniejszył liczbę luk w zabezpieczeniach systemów
Windows XP umożliwiających zdalną infekcję.
Włączenie w konfiguracji domyślnej reguł zapory ogniowej blokujących port TCP 135 oraz ograniczenie
aktywności portu TCP 445 do lokalnej podsieci mogło przyczynić się do zmniejszenia prawdopodobieństwa
zainfekowania słabo zabezpieczonych maszyn oprogramowaniem typu bot. Sieci komputerów
25
zainfekowanych takim oprogramowaniem stanowią poważne zagrożenie dla wielu systemów podłączonych
do Internetu, gdyż mogą być łatwo wykorzystane do przeprowadzania ataków typu odmowa usługi. Jak się
wydaje, zmniejszenie liczby komputerów podatnych na zainfekowanie oprogramowaniem typu bot
spowodowało również zmianę sposobu przeprowadzania ataków typu odmowa usługi, co zostanie
omówione w następnym podrozdziale.
Średnia dzienna zmiana liczby komputerów
zainfekowanych oprogramowaniem typu bot
10
4
2
1
0
-4
-10
-12
-20
-30
-40
-50
-60
-70
-80
-77
-90
port UDP 1434
port TCP 3127
port TCP 139
porty TCP 135 i 445
port TCP 135
port TCP 445
Skanowanie portów przez komputery zainfekowane oprogramowaniem typu bot
Rys. 8. Zmiany intensywności skanowania portów przez sieci komputerów zainfekowanych oprogramowaniem typu bot
Ataki typu odmowa usługi
Ataki typu odmowa usługi (DoS) stanowią poważne zagrożenie dla przedsiębiorstw i instytucji opierających
swoją działalność na Internecie, a zwłaszcza tych, w których połączenia internetowe generują znaczną
część przychodów. Termin „odmowa usługi” to ogólne określenie zdarzenia, gdy uprawniony dostęp do
usługi świadczonej przez dany komputer zostaje zablokowany lub spowolniony.
Jak wspomniano wyżej w rozdziale „Najczęstsze ataki internetowe”, na drugim miejscu w rankingu
najczęstszych ataków znalazł się Generic TCP SYN Flood Denial of Service Attack. Ten atak polega na
przeciążeniu usługi internetowej próbami połączeń, które nie kończą negocjacji połączenia26. Często ataki
tego typu są przeprowadzane przy użyciu sfałszowanych źródłowych adresów IP, co powoduje dodatkowy
ruch zwany backscatter, polegający na odsyłaniu pakietów pod takie fałszywe adresy. Rys. 9 przedstawia
cele ataków typu odmowa usługi, określone na podstawie analizy ruchu backscatter będącego
następstwem ataku.
26
26
Protokół TCP wymaga trzyetapowej wymiany pakietów synchronizacyjnych przed przesłaniem jakichkolwiek danych. Wymiana ta jest inicjowana przez przesłanie
pakietu SYN. Po jego odebraniu, system docelowy odsyła pakiet SYN-ACK i oczekuje na pakiet ACK. Dopiero otrzymanie tego pakietu kończy synchronizację. Jeśli
adres źródłowy pierwszego pakietu SYN zostanie sfałszowany, atak może spowodować, że docelowy (odpowiadający) system będzie po wysłaniu pakietu SYN-ACK
czekać w nieskończoność na pakiet ACK. Umożliwia to hakerowi utrzymywanie wielu otwartych sesji, a tym samym skuteczne przeprowadzenie ataku typu odmowa
usługi.
450
Średnia krocząca
Dzienna liczba ofiar ataków typu odmowa usługi
Liczba zaatakowanych hostów dziennie
400
350
300
250
200
150
100
50
31 XII 2004 r.
18 XII 2004 r.
4 XII 2004 r.
20 XI 2004 r.
6 XI 2004 r.
23 X 2004 r.
9 X 2004 r.
25 IX 2004 r.
11 IX 2004 r.
28 VIII 2004 r.
14 VIII 2004 r.
31 VII 2004 r.
17 VII 2004 r.
3 VII 2004 r.
0
Data
Rys. 9. Dzienna liczba ofiar ataków typu odmowa usługi
Liczba ataków DoS, w których wykorzystywano sfałszowane adresy źródłowe, wzrosła wyraźnie na początku
sierpnia 2004 r. Nastąpiło to w momencie wprowadzenia pakietu serwisowego SP2 do systemu Windows
XP. Jak wspomniano wcześniej, wprowadzenie SP2 przypuszczalnie wpłynęło na liczbę komputerów
zainfekowanych oprogramowaniem typu bot aktywnie uczestniczących w skoordynowanym skanowaniu.
Firma Symantec uważa, że może istnieć korelacja pomiędzy spadkiem liczby aktywnych komputerów
zainfekowanych oprogramowaniem typu bot a wzrostem liczby ataków na serwery internetowe przy użyciu
sfałszowanych hostów.
Zdaniem firmy Symantec istnieją także uzasadnione powody, by przypuszczać, że gdy hakerzy stracą
zdolność do przeprowadzania ataków typu odmowa usługi przy użyciu dużej liczby komputerów
zainfekowanych oprogramowaniem typu bot, powrócą do starszych metod, takich jak fałszowanie adresów
źródłowych w ramach ataku polegającego na zalaniu systemu docelowego pakietami SYN. Użycie
sfałszowanych adresów źródłowych umożliwia hakerowi przeciążenie atakowanego systemu za pomocą
mniejszej liczby atakujących komputerów, co jest istotnym czynnikiem w sytuacji, gdy maleje ogólna liczba
komputerów możliwych do wykorzystania dla celów ataku.
Ochrona przed atakami typu odmowa usługi przeprowadzanymi z użyciem sfałszowanych adresów
źródłowych jest trudna, ponieważ fałszowanie adresów bardzo komplikuje filtrowanie oparte na adresach IP.
Niektóre systemy mają włączone opcje konfiguracji, dzięki którym system jest mniej narażony na
wyczerpanie zasobów27. Przedsiębiorstwa lub instytucje będące obiektem ataku DoS często muszą zwracać
się do operatora Internetu o pomoc w filtrowaniu ruchu sieciowego od strony zewnętrznej.
27
Komputery dysponują ograniczonymi zasobami, takimi jak ilość pamięci, moc procesora czy przepustowość sieci. Mogą także istnieć ograniczenia nakładane
przez system operacyjny. Wyczerpanie zasobów to sytuacja, w której zostanie osiągnięty któryś z takich limitów bądź nastąpi nasycenie mocy przetwarzania lub
przepustowości sieci.
27
Kraje o największym odsetku komputerów zainfekowanych oprogramowaniem typu bot
Przygotowując niniejszą edycję Raportu firmy Symantec na temat bezpieczeństwa w Internecie, zbadaliśmy
rozkład komputerów zainfekowanych oprogramowaniem typu bot w całym Internecie. W tym celu Firma
Symantec policzyła liczbę znanych komputerów zainfekowanych takim oprogramowaniem na świecie oraz
obliczyła, jaki odsetek z nich znajduje się w poszczególnych krajach. Pozwoliło to analitykom poznać
rozmieszczenie komputerów zainfekowanych oprogramowaniem typu bot w skali globalnej.
Zidentyfikowanie komputerów zainfekowanych oprogramowaniem typu bot ma duże znaczenie, gdyż wysoki
wskaźnik zainfekowanych maszyn może oznaczać większe prawdopodobieństwo wystąpienia ataków
z użyciem takiego oprogramowania. Ponadto wskaźnik ten sygnalizuje stopień instalowania programów
korygujących oraz poziom świadomości użytkowników komputerów w danym regionie.
W drugim półroczu 2004 r. krajem, w którym wykryto najwięcej komputerów zainfekowanych
oprogramowaniem typu bot, była Wielka Brytania, gdzie zlokalizowano 25,2% takich komputerów (patrz
tab. 3). Oprogramowanie typu bot, według obserwacji firmy Symantec, najczęściej infekuje komputery
obsługiwane przez dużych operatorów Internetu, często udostępniających szybkie (szerokopasmowe) łącza
internetowe. Jednym z czynników, które prawdopodobnie wpływają na tak dużą liczbę komputerów
zainfekowanych oprogramowaniem typu bot w Wielkiej Brytanii, jest mający tam miejsce szybki rozwój łączy
szerokopasmowych28. Firma Symantec przypuszcza, że nowi użytkownicy takich łączy mogą nie zdawać
sobie sprawy z dodatkowych środków bezpieczeństwa, jakie powinni wdrożyć w związku z używaniem
szybkich, stałych łączy internetowych. Oprócz tego pojawienie się wielu nowych użytkowników, co pociąga
za sobą rozwój infrastruktury i wzrost kosztów pomocy technicznej, może opóźnić reakcje operatorów
Internetu na zgłoszenia dotyczące nadużyć i infekcji.
Pozycja
w rankingu
1
2
3
4
5
6
7
8
9
10
Procent wszystkich
Kraj
zainfekowanych komputerów
Wielka Brytania
25.2%
Stany Zjednoczone
24.6%
Chiny
7.8%
Kanada
4.9%
Hiszpania
3.8%
Francja
3.6%
Niemcy
3.5%
Tajwan
3.1%
Korea Południowa
3.0%
Japonia
2.6%
Tabela 3. Kraje o największym odsetku komputerów zainfekowanych oprogramowaniem typu bot
Drugą pozycję w tym rankingu zajmują Stany Zjednoczone, gdzie zlokalizowano 24,6% komputerów
zainfekowanych oprogramowaniem typu bot. Wysoką pozycję Stanów Zjednoczonych w tym rankingu
wyjaśnia fakt, że w tym kraju jest bardzo wielu użytkowników Internetu i użytkowników szybkich połączeń
szerokopasmowych – jest ich ponad 30 mln, a więc więcej niż gdziekolwiek indziej29.
28
29
28
http://www.point-topic.com/content/dslanalysis/Q304+BB+analysis+041215.htm (Uwaga: dostęp do tej witryny wymaga rejestracji).
W Chinach znajduje się 7,8% wszystkich komputerów zainfekowanych oprogramowaniem typu bot na
świecie. Podobnie jak wiele innych krajów, Chiny przeżywają gwałtowny wzrost liczby użytkowników
podłączonych do Internetu przez szybkie łącza szerokopasmowe30. Wzrost ten co prawda nie jest
wystarczający, by Chiny uzyskały tak wysoki udział jak Stany Zjednoczone i Wielka Brytania, ale i tak kraj
ten wyprzedza pod tym względem swoich sąsiadów w regionie, takich jak Korea Południowa i Japonia.
Firma Symantec przewiduje, że udział procentowy komputerów zainfekowanych oprogramowaniem typu bot
w Chinach będzie wzrastał do momentu spowolnienia tempa wzrostu liczby połączeń szerokopasmowych.
Kraje najczęściej inicjujące ataki
W niniejszym podrozdziale omówiono ranking krajów pod względem liczby źródeł ataków (patrz tab. 4).
Przedstawiona tu miara reprezentuje jedynie lokalizacje komputerów, z których wyszły ataki, a nie faktyczne
lokalizacje hakerów przeprowadzających ataki. Chociaż prześledzenie drogi ataku do ostatniego komputera,
z którego został on wyprowadzony, jest stosunkowo proste, taki komputer nie musi być własnym systemem
atakującego. Hakerzy często przeskakują przez liczne systemy bądź korzystają z wcześniej opanowanych
komputerów w celu ukrycia swojej lokalizacji przed przeprowadzeniem właściwego ataku. Na przykład
haker zlokalizowany w Chinach może przeprowadzić atak z zainfekowanego systemu w Korei Południowej
na serwer WWW w Nowym Jorku. Dodatkową komplikację stanowi fakt, że międzynarodowe procedury
prawne często uniemożliwiają skuteczne zbadanie rzeczywistej lokalizacji hakera.
Pozycja w rankingu
(VII–XII 2004)
1
2
3
4
5
6
7
8
9
10
Pozycja w rankingu
(I–VI 2004)
1
2
5
9
3
6
7
NR
8
NR
Kraj
Stany Zjednoczone
Chiny
Niemcy
Korea Południowa
Kanada
Wielka Brytania
Francja
Japonia
Hiszpania
Włochy
Procent wszystkich
zdarzeń (VII–XII 2004)
30%
8%
8%
4%
4%
4%
3%
3%
3%
2%
Procent wszystkich
zdarzeń (VII–XII 2004)
37%
6%
5%
3%
6%
4%
4%
NA
3%
NA
Tabela 4. Kraje najczęściej inicjujące ataki
Pierwsze miejsce w rankingu krajów najczęściej inicjujących ataki w dalszym ciągu zajmują Stany
Zjednoczone, jednak odsetek ataków wychodzących z tego kraju od trzech badanych okresów półrocznych
systematycznie spada. W drugim półroczu 2004 r. ze Stanów Zjednoczonych wyszło 30% ataków, co
oznacza spadek w stosunku do pierwszego półrocza tego roku, gdy wskaźnik ten wynosił 37%, oraz
w stosunku do drugiego półrocza 2003 r., gdy wskaźnik ten wynosił 58%. Można przewidywać, że w miarę
jak inne kraje będą rozbudowywać swoją infrastrukturę internetową, zwłaszcza w zakresie szybkich
połączeń, odpowiednio będzie spadać odsetek ataków wychodzących ze Stanów Zjednoczonych.
30
29
Drugie miejsce w rankingu krajów pod względem liczby źródeł ataków w drugim półroczu 2004 r. zajęły
Chiny, nie zmieniając swojej pozycji w porównaniu z pierwszym półroczem tego roku. Udział procentowy
Chin w liczbie zdarzeń na całym świecie nieco wzrósł – z 6% w pierwszym do 8% w drugim półroczu
2004 r. Niemcy przesunęły się w ostatnim badanym okresie na trzecią pozycję w tym rankingu, a ich udział
procentowy w liczbie źródeł ataków internetowych wyniósł 8%, podczas gdy w pierwszym półroczu wynosił
5% i dawał temu krajowi piątą pozycję w rankingu.
Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu
Wskaźnik liczby ataków inicjowanych z danego kraju nie uwzględnia liczby użytkowników Internetu w tym
kraju. Na przykład Stany Zjednoczone mają jedną z największych populacji użytkowników Internetu, nie
może więc być zaskoczeniem, że zajmują również wysoką pozycję w rankingu pod względem liczby ataków.
W niniejszym podrozdziale omówiono ranking krajów pod względem liczby przeprowadzonych ataków
w przeliczeniu na 10 tys. użytkowników Internetu (patrz tab. 5). W analizie uwzględniono wszystkie kraje,
w których liczba użytkowników Internetu przekracza 100 tys31.
Obecna pozycja
w rankingu
1
2
3
4
5
6
7
8
9
10
Kraj
Panama
SRA Hong Kong
Makao
Katar
Izrael
Turcja
Bośnia i Hercegowina
Kanada
Luksemburg
Hiszpania
Pozycja w rankingu
w I poł. 2004
brak danych
brak danych
2
brak danych
3
7
brak danych
9
brak danych
8
Tabela 5. Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu
Z wyjątkiem Kanady i Hiszpanii, żaden z krajów najczęściej inicjujących ataki w przeliczeniu na liczbę
użytkowników Internetu nie pojawia się w obecnym rankingu krajów najczęściej inicjujących ataki ogółem.
Ponadto pięć spośród dziesięciu krajów zajmujących w tym rankingu najwyższe pozycje nie występowało
w rankingu w poprzednim badanym okresie. Oznacza to, że po skorygowaniu liczby źródeł ataków
o czynnik uwzględniający liczbę użytkowników Internetu, w rankingu następują bardzo duże zmiany.
Analizując listę krajów, z których przeprowadzono najwięcej ataków w przeliczeniu na liczbę użytkowników
Internetu, można zauważyć pewną prawidłowość. Chociaż występują tu kraje, których pozycja w tym
rankingu zmienia się niewiele – są to Turcja, Izrael, Hiszpania i Kanada – wskaźniki dla innych krajów
w przeliczeniu na 10 tys. użytkowników wykazują znacznie większą zmienność. Jednym z czynników
powodujących takie zmiany może być szybki wzrost liczby użytkowników Internetu w tych krajach.
Konsekwencją takiego wzrostu jest m.in. to, że użytkownicy mogą nie być dostatecznie uświadomieni
31
30
Dane dotyczące liczby użytkowników Internetu w poszczególnych krajach zostały pobrane z publikacji CIA World Factbook 2004
(http://www.cia.gov/cia/publications/factbook/).
w dziedzinie procedur zapewnienia bezpieczeństwa. W efekcie komputery w krajach przeżywających
raptowny wzrost liczby użytkowników Internetu mogą być gorzej zabezpieczone niż w krajach, gdzie
użytkownicy są bardziej doświadczeni.
Drugą konsekwencją takiego szybkiego wzrostu liczby użytkowników Internetu jest to, że występują
problemy ze statystyką użycia Internetu. Do czasu, gdy tempo wzrostu liczby użytkowników Internetu w tych
krajach spadnie, prawdopodobnie nadal będą występować duże różnice w rankingach w poszczególnych
badanych okresach. W krajach, gdzie użytkowników Internetu jest mniej, prawdopodobnie będą zachodzić
poważniejsze zmiany – liczba użytkowników Internetu może się podwoić lub potroić w ciągu roku, a to
oznacza ogromne zmiany w aktywności związanej z atakami.
W wielu krajach, które po raz pierwszy pojawiły się w rankingu krajów najczęściej inicjujących ataki
w przeliczeniu na liczbę użytkowników Internetu, liczba takich użytkowników wynosi od 100 tys. do 200 tys.
Jest prawdopodobne, że w poprzednich badanych okresach kraje te nie osiągały liczby 100 tys.
użytkowników Internetu, wymaganej do uwzględnienia ich w naszym badaniu. Wskazuje to, że wszystkie
takie kraje przeżywają gwałtowny wzrost liczby użytkowników Internetu, w wielu przypadkach dwukrotny lub
trzykrotny w ciągu półrocza. Taki wzrost użycia Internetu w tych krajach (takich jak Panama, Katar, Bośnia
i Hercegowina) odzwierciedla się w ich pozycji w rankingu pod względem liczby źródeł ataków
w przeliczeniu na liczbę użytkowników Internetu.
Omawiana miara może być także zniekształcona wskutek opóźnienia pomiędzy faktycznym wzrostem liczby
użytkowników Internetu a udokumentowaniem tego wzrostu w źródłach referencyjnych. Przykładem tego
zjawiska jest pojawienie się w rankingu w ostatnim badanym okresie Łotwy. Podawana w cytowanym źródle
(CIA World Factbook) liczba użytkowników Internetu w tym kraju wzrosła z 312 tys. w roku 2003 do
936 tys. w roku 2004. Chociaż taki szybki wzrost liczby użytkowników Internetu powinien wpłynąć na liczbę
ataków, nie zostało to odzwierciedlone w źródłach, na których oparto analizę. Oznacza to, że wskaźnik dla
tego kraju został zniekształcony. Spadek Łotwy w rankingu krajów najczęściej inicjujących ataki
w przeliczeniu na liczbę użytkowników Internetu prawdopodobnie jest spowodowany faktem, że wzrosła
w tym kraju udokumentowana liczba użytkowników Internetu (odzwierciedlając szybki faktyczny wzrost
liczby użytkowników), podczas gdy liczba ataków pozostała stosunkowo stabilna. W efekcie wskaźnik liczby
ataków w przeliczeniu na liczbę znanych użytkowników Internetu zmniejszył się.
Ataki ukierunkowane na poszczególne branże
Wybierając cele ataków hakerzy kierują się różnymi powodami. W niektórych przypadkach atak może być
ukierunkowany na jedno przedsiębiorstwo lub grupę przedsiębiorstw tej samej branży. W innych
przypadkach ataki mogą mieć charakter po prostu oportunistyczny, tzn. haker stara się opanować dowolny
system, bez względu na to, kto jest jego właścicielem. W niniejszym podrozdziale omówiono ataki
ukierunkowane na specyficzne branże (patrz rys. 10). Przez „ukierunkowanego atakującego” rozumie się
atakujący adres IP, który w badanym okresie zaatakował co najmniej trzy czujniki zainstalowane
w systemach z danej branży i nie wykonał ataku na żadną inną branżę.
31
8%
Udział procentowy
6%
4%
2%
0%
Usługi
Zaawansowane
finansowe
technologie
Ochrona
zdrowia
Media
i rozrywka
Energetyka Przedsiębiorstwa
produkcyjne
Małe
firmy
Organizacje
pozarządowe
(nonprofit)
Usługi
biznesowe
Oświata
Branża
Rys. 10. Ataki ukierunkowane na poszczególne branże
W okresie od 1 lipca do 31 grudnia 2004 r. najczęściej atakowaną branżą była branża usług finansowych.
Odsetek ataków ukierunkowanych na tę branżę wzrósł z 4% do ponad 6%. Wzrost ten jest kontynuacją
tendencji obserwowanej również w poprzednim okresie sześciomiesięcznym, w którym odsetek ataków
ukierunkowanych na tę branżę wzrósł z 1% do 4%. Był to największy ze wszystkich branż wzrost
wskaźnika ukierunkowanych ataków. Usługi finansowe są ogólnie uznawane za atrakcyjny cel dla hakerów
mających nadzieję na uzyskanie korzyści finansowych, a stały wzrost wskaźnika ukierunkowanych ataków
oznacza, że hakerzy sondują coraz więcej instytucji finansowych w poszukiwaniu luk w zabezpieczeniach.
Drugą branżą w rankingu pod względem liczby ukierunkowanych ataków w okresie od 1 lipca do
31 grudnia 2004 r. była branża zaawansowanych technologii. W poprzednim okresie branża ta zajęła
czwartą pozycję w tym rankingu. Jednak chociaż branża ta podwyższyła swoją pozycję w rankingu, odsetek
ataków ukierunkowanych na przedsiębiorstwa z branży zaawansowanych technologii w rzeczywistości
zmniejszył się z nieco poniżej 4% w pierwszym do nieco powyżej 3% w drugim półroczu 2004 r. W drugim
półroczu 2003 r. wskaźnik ukierunkowanych ataków na tę branżę wynosił nieco poniżej 5%. Można
przypuszczać, że przedsiębiorstwa z branży zaawansowanych technologii stosują solidniejsze
zabezpieczenia, wskutek czego atrakcyjność takich przedsiębiorstw jako celów ataków maleje, zwłaszcza że
atakowanie innych branż może przynosić hakerom większe korzyści.
Podobnie jak branża zaawansowanych technologii, również branża ochrony zdrowia podwyższyła swoją
pozycję w rankingu – z dziewiątej w pierwszym półroczu 2004 r. na trzecią w drugim półroczu tego roku.
Pomimo tego znacznego skoku w rankingu, liczba ukierunkowanych ataków na instytucje ochrony zdrowia
wzrosła tylko nieznacznie, a ich udział procentowy pozostaje wciąż zbliżony do 2%.
32
Najbardziej znaczący spadek w porównaniu z pierwszym półroczem 2004 r. nastąpił w sektorze małych
firm. O ile w pierwszym półroczu 2004 r. branża ta zajęła drugie miejsce w rankingu, w drugim półroczu
spadła na siódmą pozycję, a odsetek ataków ukierunkowanych na tę branżę wyniósł niewiele ponad 1%.
W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie przyjęliśmy, że wysoka
pozycja sektora małych firm w tym rankingu jest związana ze sposobem użycia Internetu przez nie. Małe
firmy częściej łączą się z Internetem przez linie DSL lub sieć telewizji kablowej, a ponadto każda firma ma
przydzieloną stosunkowo małą pulę adresów internetowych. Z tych względów przedstawiliśmy
przypuszczenie, że skoordynowany atak na określony zakres adresów IP należących do jednego operatora
linii DSL lub telewizji kablowej może zostać rozpoznany jako atak ukierunkowany, mimo że w rzeczywistości
ma charakter oportunistyczny.
Firma Symantec w dalszym ciągu podtrzymuje pogląd, że takie grupowanie adresów zawyża rezultaty
obserwowanego skanowania tych segmentów Internetu, wyolbrzymiając skutki skanowania niektórych klas
sieci. Jest możliwe, że nasilenie skanowania pewnych zakresów adresów może zawyżać oszacowaną liczbę
ukierunkowanych ataków w niektórych okresach próbkowania. Efektem tego może być bardzo duża
zmienność wskaźników obserwowanych w tej branży.
Rzuca się w oczy fakt, że branża handlu elektronicznego, która zajmowała czołową pozycję w rankingu
w pierwszym półroczu 2004 r., nie znalazła się w rankingu za ostatni analizowany okres. Stało się tak
dlatego, że w okresie tym nie została utrzymana liczba czujników w tej branży wymagana do zapewnienia
statystycznej reprezentatywności. Z tego względu firma Symantec w ogóle wyłączyła branżę handlu
elektronicznego z analizy.
Jest możliwe, że ten spadek liczby czujników w branży handlu elektronicznego został spowodowany
zmianami w klasyfikacji branż, zwłaszcza dotyczącymi rozróżnienia pomiędzy handlem elektronicznym
a tradycyjnymi przedsiębiorstwami handlowymi. Tradycyjne przedsiębiorstwa stale rozszerzają swoją
działalność na świat Internetu, przedstawiając oferty online, w związku z czym rozróżnienie pomiędzy
przedsiębiorstwami handlu elektronicznego a tradycyjnymi przedsiębiorstwami handlowymi może już nie
być właściwe.
Wskaźnik poważnych ataków w poszczególnych branżach
Wskaźnik poważnych ataków w poszczególnych branżach porównuje branże pod kątem liczby poważnych
(o wysokim poziomie istotności) zdarzeń pochodzących z zewnętrznych systemów atakujących, wykrytych
przez czujniki zainstalowane w systemach danej branży. Firma Symantec określa stopień istotności ataku
na podstawie charakterystyki ataku, środków obronnych podjętych przez klienta, wartości zagrożonych
zasobów oraz stopnia powodzenia ataku. Ataki o wysokim poziomie istotności stanowią największe
zagrożenie dla przedsiębiorstw i instytucji. Liczba ataków tego poziomu może być miarą ryzyka, na jakie
narażona jest dana branża. Omówione zostaną branże, w których wystąpiła największa liczba poważnych
zdarzeń w przeliczeniu na 10 tys. zdarzeń (patrz rys. 11).
Najwięcej ataków o wysokim poziomie istotności w przeliczeniu na 10 tys. wszystkich zdarzeń wystąpiło
w sektorze usług finansowych. Sektor ten jest atrakcyjnym celem dla hakerów, gdyż zdarzenia w tym
sektorze przyciągają uwagę opinii publicznej jako mające związek z transakcjami finansowymi. Biorąc pod
33
uwagę wysoką pozycję tej branży zarówno w rankingu poważnych ataków jak i w rankingu ataków
ukierunkowanych, jest oczywiste, że instytucje finansowe muszą podjąć odpowiednie środki w celu
rozpoznania i niwelowania ryzyka takich ataków.
Wysoki wskaźnik zdarzeń o wysokim poziomie istotności zaobserwowano również w innych branżach,
takich jak branża produkcyjna, transportowa oraz media i rozrywka. Wysoki wskaźnik poważnych zdarzeń
występujących w tych branżach w porównaniu z innymi branżami infrastrukturalnymi, takimi jak branża
energetyczna czy ochrony zdrowia, może wskazywać, że w tych ostatnich branżach wdrożono dodatkowe
środki bezpieczeństwa, które lepiej chronią przed atakami.
Zwraca uwagę czwarta pozycja branży mediów i rozrywki, zwłaszcza w kontekście udanych prób
manipulowania mediami za pomocą ataków internetowych. Ze względu na duże zainteresowanie opinii
publicznej, witryny tej branży są często atakowane przez „haktywistów”, czyli osobników, którzy niszczą je
w celu umieszczenia w nich swoich materiałów.
Jednym z najgłośniejszych przykładów zmanipulowania witryny WWW było zdarzenie z sierpnia 2001 r., gdy
znany haker Adrian Lamo zmodyfikował treść artykułu w serwisie informacyjnym witryny Yahoo32, subtelnie
zniekształcając przedstawione w nim fakty. Za ten czyn został on potem oskarżony i skazany33. Biorąc pod
uwagę, że witryny agencji informacyjnych cieszą się dużą popularnością i opinia publiczna zwraca na nie
uwagę, nie można wykluczyć, że będą podejmowane następne próby manipulowania treścią
umieszczanych w nich materiałów.
Liczba poważnych zdarzeń na 10 tys. zdarzeń
18
15
12
9
6
3
0
Usługi
finansowe
Przedsiębiorstwa
produkcyjne
Transport
Media
i rozrywka
Telekomunikacja
Zaawansowane Organizacje
technologie pozarządowe
(nonprofit)
Branża
Rys. 11. Wskaźnik poważnych ataków w poszczególnych branżach
32
33
34
http://www.securityfocus.com/news/254
Energetyka
Ochrona
zdrowia
Usługi
biznesowe
Tendencje dotyczące luk w zabezpieczeniach
Luka w zabezpieczeniach jest to błąd projektowy lub implementacyjny systemu informatycznego, który
może spowodować naruszenie poufności, integralności bądź dostępności informacji przechowywanych czy
transmitowanych w takim systemie. Luki w zabezpieczeniach najczęściej dotyczą oprogramowania, ale
istnieją we wszystkich warstwach systemów informatycznych – od poziomu projektu lub specyfikacji
protokołu po fizyczną implementację sprzętu.
Luki w zabezpieczeniach mogą być wykorzystywane aktywnie – przez użytkowników mających wrogie
intencje lub przez automatycznie działający destrukcyjny kod, bądź też mogą występować pasywnie
w trakcie działania systemu. Nowe luki w zabezpieczeniach są regularnie wykrywane i ujawniane przez
duże środowisko użytkowników, badaczy, hakerów i dostawców zabezpieczeń. Ujawnienie nawet jednej luki
w zabezpieczeniach zasobu o znaczeniu krytycznym może poważnie naruszyć bezpieczeństwo
przedsiębiorstwa lub instytucji.
Firma Symantec starannie monitoruje badania luk w zabezpieczeniach oraz śledzi takie luki przez cały
okres ich „życia” – od wstępnej dyskusji po wprowadzenie programu korygującego czy innego środka
zaradczego. Niniejszy rozdział Raportu firmy Symantec na temat bezpieczeństwa w Internecie omawia luki
w zabezpieczeniach wykryte w okresie od 1 lipca do 31 grudnia 2004 r. Przedstawia porównanie tych luk
z lukami wykrytymi w poprzednich dwóch okresach półrocznych oraz omawia, w jaki sposób aktualne
tendencje dotyczące luk w zabezpieczeniach mogą wpłynąć na potencjalne przyszłe zagrożenia.
W przypadkach, których to dotyczy, przedstawia także strategie łagodzenia skutków wykorzystania takich
luk. Zalecenia firmy Symantec dotyczące najlepszych procedur w zakresie ochrony są podane w Załączniku
A na końcu niniejszego Raportu34.
W niniejszym rozdziale Raportu firmy Symantec na temat bezpieczeństwa w Internecie omówiono
następujące tematy:
• Łączna liczba wykrytych luk w zabezpieczeniach
• Poziom istotności luk w zabezpieczeniach
• Łatwość wykorzystania
• Czas opracowywania kodu wykorzystującego luki w zabezpieczeniach
• Luki w zabezpieczeniach aplikacji internetowych
• Luki w zabezpieczeniach przeglądarek internetowych
• Luki w zabezpieczeniach przeglądarek internetowych w rozbiciu na poziomy istotności
Firma Symantec utrzymuje BugTraq35 – jedno z najpopularniejszych forów internetowych poświęconych
ujawnianiu i omawianiu luk w zabezpieczeniach. Jest to lista adresowa obejmująca ok. 50 tys. abonentów
indywidualnych, którzy otrzymują codziennie informacje dotyczące zabezpieczeń, prowadzą dyskusje na ten
temat oraz wnoszą do nich własny wkład. Firma Symantec utrzymuje również jedną z najobszerniejszych na
świecie baz danych o lukach w zabezpieczeniach, obejmującą obecnie ponad 11 tys. pozycji (z ponad
10 lat). Luki te wykryto w ponad 20 tys. technologii pochodzących od przeszło 2 tys. dostawców.
Omówienie tendencji dotyczących luk w zabezpieczeniach jest oparte na wnikliwej analizie tych danych.
34
35
Należy zwrócić uwagę, że wszystkie liczby przedstawione w tym omówieniu zostały zaokrąglone do najbliższej liczby całkowitej. Z tego względu w niektórych
przypadkach udziały procentowe nie sumują się do 100%.
Lista adresowa BugTraq jest utrzymywana przez SecurityFocus (http://www.securityfocus.com). Archiwa listy są dostępne pod adresem
http://www.securityfocus.com/archive/1.
35
Łączna liczba wykrytych luk w zabezpieczeniach
W okresie od 1 lipca do 31 grudnia 2004 r. firma Symantec udokumentowała 1403 nowe luki
w zabezpieczeniach (patrz rys. 12). Oznacza to wzrost łącznej liczby wykrytych luk o 13% w stosunku do
pierwszego półrocza 2004 r., gdy ich liczba wynosiła 1237, oraz o 19% w stosunku do okresu od 1 lipca do
31 grudnia 2003 r., gdy wykryto 1180 luk.
Drugie półrocze 2004 r. było drugim z kolei badanym okresem, w którym zaobserwowano wzrost łącznej
liczby wykrytych luk w zabezpieczeniach. Jak widać na rys. 12, liczba przypadków wykrycia luk rosła stale
od pierwszego półrocza 2001 r. do pierwszego półrocza 2003 r. Potem nastąpił spadek liczby wykrywanych
luk w drugim półroczu 2003 r. i ponowny wzrost w dwóch ostatnich badanych okresach półrocznych.
Obecnie liczba ta zbliżyła się do wartości maksymalnej osiągniętej w połowie 2003 roku.
Liczba udokumentowanych luk w zabezpieczeniach
1,600
1,480
1,403
1,285
1,310
1,180
1,200
1,237
780
800
680
400
0
I–VI
2001
VII–XII
2001
I–VI
2002
VII–XII
2002
I–VI
2003
VII–XII
2003
I–VI
2004
VII–XII
2004
Okres
Rys. 12. Łączna liczba luk w zabezpieczeniach udokumentowanych przez firmę Symantec w latach 2001?2004
70
58
60
52
48
50
40
30
20
10
0
Okres
Rys. 13. Liczba luk w zabezpieczeniach wykrywanych tygodniowo w ciągu ostatnich 18 miesięcy
36
Ten wzrost liczby ujawnianych luk w zabezpieczeniach w dwóch ostatnich badanych okresach jest również
widoczny przy analizie liczby luk wykrywanych tygodniowo. W drugim półroczu 2004 r. wykrywano średnio
58 nowych luk w zabezpieczeniach tygodniowo, a więc więcej niż w poprzednim okresie półrocznym, gdy
liczba ta wynosiła 52. Oznacza to wzrost o prawie jedną dodatkową lukę wykrywaną dziennie (patrz
rys. 13). W okresie od 1 lipca do 31 grudnia 2003 r. publikowano średnio 48 nowych luk tygodniowo.
Wynika z tego, że administratorzy odpowiedzialni za ochronę muszą obecnie chronić się przed średnio
dziesięcioma lukami tygodniowo więcej niż rok temu.
Poziom istotności luk w zabezpieczeniach
Poziom istotności luki w zabezpieczeniach określa, w jakim stopniu dana luka umożliwia hakerowi dostęp
do atakowanego systemu. Miara ta określa również potencjalne skutki efektywnego wykorzystania takiej luki
dla poufności, integralności oraz dostępności zainfekowanego systemu. Dla potrzeb niniejszego Raportu
firmy Symantec na temat bezpieczeństwa w Internecie, wszystkie luki w zabezpieczeniach zostały
podzielone na następujące trzy poziomy istotności:
Niski poziom istotności – Luki stanowiące niewielkie zagrożenie. Haker nie może wykorzystać luki za
pośrednictwem sieci, a ponadto nawet skuteczne wykorzystanie luki nie powoduje kompletnego
opanowania informacji przechowywanych lub transmitowanych w systemie.
Umiarkowany pozom istotności – Luki umożliwiające częściowe złamanie zabezpieczeń zaatakowanego
systemu, na przykład takie, dzięki którym atakujący uzyskuje wyższe uprawnienia, ale nie uzyskuje
kompletnej kontroli nad atakowanym systemem.
Wysoki poziom istotności – Luki w zabezpieczeniach, których wykorzystanie prowadzi do całkowitego
opanowania systemu. W prawie wszystkich przypadkach skuteczne ich wykorzystanie może spowodować
kompletną utratę poufności, integralności i dostępności danych przechowywanych lub transmitowanych
w takim systemie.
Do wysokiego poziomu istotności zostało zakwalifikowanych 696 luk w zabezpieczeniach
udokumentowanych przez firmę Symantec w okresie od 1 lipca do 31 grudnia 2004 r., czyli 50% łącznej
liczby wykrytych luk (patrz rys. 14). Oznacza to wzrost o 4% w stosunku do pierwszego półrocza 2004 r.,
gdy do wysokiego poziomu istotności zostało zakwalifikowanych 46% wszystkich wykrytych luk. W stosunku
do analogicznego okresu roku poprzedniego liczba luk w zabezpieczeniach o wysokim poziomie istotności
wzrosła o 6%.
Spośród luk w zabezpieczeniach udokumentowanych przez firmę Symantec w drugim półroczu 2004 r., do
umiarkowanego poziomu istotności zostało zakwalifikowanych 667 luk , czyli 48% ich łącznej liczby.
Oznacza to niewielki spadek w stosunku do pierwszego półrocza tego roku, gdy wskaźnik luk o
umiarkowanym poziomie istotności wyniósł 50%, a także nieco większy spadek w stosunku do okresu od
1 lipca do 31 grudnia 2003 r., gdy wskaźnik ten wyniósł 54%.
W drugim półroczu 2004 r. do niskiego poziomu istotności firma Symantec zakwalifikowała tylko 40
wykrytych luk w zabezpieczeniach, co stanowi 3% ich łącznej liczby. Jest to mniejszy udział procentowy niż
w poprzednim badanym okresie, gdy luk o niskim poziomie istotności było 4%. Jednak jest to równocześnie
niewielki wzrost w stosunku do liczby luk o niskim poziomie istotności wykrytych w analogicznym okresie
roku poprzedniego, gdy wskaźnik ten wynosił 2%.
37
W badanym okresie utrzymywała się tendencja wzrostowa udziału luk w zabezpieczeniach
o umiarkowanym i wysokim poziomie istotności, obserwowana w poprzednich dwóch okresach
półrocznych. W drugim półroczu 2004 r. do umiarkowanego i wysokiego poziomu istotności łącznie
zaliczono aż 97% wszystkich luk. W poprzednim okresie badanym wskaźnik ten wynosił 95%.
Wysoki poziom istotności
Umiarkowany poziom istotności
Niski poziom istotności
1,600
40
28
51
1,200
667
635
618
800
400
0
517
568
696
Okres
Rys. 14. Liczba luk w zabezpieczeniach w rozbiciu na poziomy istotności w ciągu ostatnich 18 miesięcy
Wzrost udziału procentowego luk o wysokim poziomie istotności jest przypuszczalnie spowodowany dwoma
czynnikami. Po pierwsze, badacze są bardziej zainteresowani wyszukiwaniem i publikowaniem luk
o wysokim poziomie istotności. Poziom istotności luki odzwierciedla m.in. potencjalne skutki jej
wykorzystania dla atakowanego systemu. Badacze nie są skłonni poświęcać czasu i wysiłku związanego
z badaniami luk w zabezpieczeniach oraz metod ich wykorzystywania, jeśli poziom istotności luki tego nie
uzasadnia. Ponadto zdaniem firmy Symantec można przyjąć, iż istnieje korelacja pomiędzy potencjalnymi
skutkami wykrytej luki w zabezpieczeniach systemu a stopniem uznania, z jakim spotka się badacz
w swoim środowisku.
Drugim powodem wzrostu udziału bardziej poważnych luk w zabezpieczeniach jest fakt, że ponad 80% luk
udokumentowanych w badanym okresie to luki możliwe do wykorzystania zdalnego. Prawie 50% z nich
dotyczy technologii związanych z siecią WWW. Większość nowoczesnych systemów informatycznych
wymaga dostępu do sieci lub obsługuje taki dostęp, a odbywa się to coraz częściej za pośrednictwem
interfejsów internetowych lub technologii związanych z siecią WWW. Tendencja ta jest odzwierciedlona
w zmianach udziału poszczególnych kategorii luk w zabezpieczeniach udokumentowanych w naszej bazie
38
danych. Ponieważ luki w zabezpieczeniach możliwe do wykorzystania za pośrednictwem sieci zaliczane są
z definicji do poziomu istotności co najmniej umiarkowanego, wzrost liczby luk możliwych do zdalnego
wykorzystania automatycznie zwiększa liczbę luk zaliczanych do poziomu istotności umiarkowanego lub
wysokiego.
350
12
300
2
250
14
4
115
3
200
5
124
111
150
114
109
94
100
50
174
109
110
119
Sierpień
Wrzesień
Październik
85
99
0
Lipiec
Listopad
Grudzień
Miesiąc
Rys. 15. Liczba luk w zabezpieczeniach miesięcznie w rozbiciu na poziomy istotności
Łatwość wykorzystania
Firma Symantec ocenia łatwość wykorzystania każdej luki w zabezpieczeniach na podstawie tego, jak
trudno jest hakerowi wykorzystać lukę do złamania zabezpieczeń atakowanego systemu. Ocena łatwości
wykorzystania zakłada, że potencjalni hakerzy mają ogólną wiedzę na temat klas luk w zabezpieczeniach
i sposobach ich wykorzystywania, z użyciem odpowiedniego kodu lub bez niego (w zależności od rodzaju
luki). Firma Symantec kwalifikuje każdą lukę jako „łatwą do wykorzystania”, jeśli jej wykorzystanie nie
wymaga specjalnego kodu bądź jeśli taki kod jest dostępny. Jeśli natomiast taki kod umożliwiający
wykorzystanie jest wymagany, ale nie jest jeszcze dostępny publicznie, luka jest zaliczana do kategorii „kod
umożliwiający wykorzystanie niedostępny”.
Ogólnie biorąc, wykorzystanie luk w zabezpieczeniach zaliczanych do kategorii „łatwych do wykorzystania”
nie wymaga zaawansowanych umiejętności ani wiedzy. Każdy, kto ma dostateczną ogólną wiedzę
techniczną lub posługuje się publicznie dostępnymi narzędziami, może wykorzystać taką lukę. Przykładem
są luki w zabezpieczeniach serwerów WWW, które mogą być wykorzystane po prostu przez wprowadzenie
odpowiedniego adresu URL w przeglądarce internetowej.
39
Z drugiej strony, luki w zabezpieczeniach zakwalifikowane do kategorii „kod umożliwiający wykorzystanie
niedostępny” są trudniejsze do wykorzystania. Jest tak dlatego, że nie można ich wykorzystać bazując
jedynie na podstawowej wiedzy, lecz wymagane są do tego specjalne narzędzia, które nie zostały
opracowane bądź nie są dostępne publicznie. W celu wykorzystania takich luk, haker musiałby napisać
własny kod (zakłada się, że kod taki nie jest dostępny w obiegu podziemnym). Oznacza to, że
przeprowadzenie skutecznego ataku wymaga znacznie wyższego poziomu wiedzy i umiejętności oraz
nakładu pracy, a to zmniejsza prawdopodobieństwo przeprowadzenia takiego ataku. Należy podkreślić, że
nawet jeśli narzędzia umożliwiające wykorzystanie nie są dostępne publicznie, mogą istnieć w rękach
prywatnych. Tym niemniej, ponieważ nie są dostępne publicznie, prawdopodobieństwo ich wykorzystania
do masowego zaatakowania danej luki jest mniejsze.
100%
Łatwe do wykorzystania
Odsetek
80%
60%
40%
20%
0%
Lipiec
Sierpień
Wrzesień
Październik
Listopad
Miesiąc
Rys. 16. Luki w zabezpieczeniach zakwalifikowane jako łatwe do wykorzystania
40
Grudzień
180
kod umożliwiający wykorzystanie luki
niewymagany
niedostępny
dostępny
150
120
90
60
30
0
Lipiec
Sierpień
Wrzesień
Październik
Listopad
Grudzień
Miesiąc
Rys. 17. Luki w zabezpieczeniach w rozbiciu na poziomy łatwości wykorzystania
Firma Symantec zakwalifikowała 987 luk w zabezpieczeniach wykrytych w okresie od 1 lipca do 31 grudnia
2004 r. jako łatwe do wykorzystania (patrz rys. 16). Oznacza to, że wykorzystanie 70% wszystkich
ujawnionych w tym okresie luk nie wymaga żadnego kodu bądź kod taki jest dostępny. W pierwszym
półroczu 2004 r. odsetek udokumentowanych luk w zabezpieczeniach zakwalifikowanych jako łatwe do
wykorzystania wyniósł 69%, natomiast w drugim półroczu 2003 r. – 72%. Jak widać, odsetek łatwych do
wykorzystania luk w zabezpieczeniach w ostatnim badanym okresie prawie się nie zmienił w porównaniu
z poprzednimi dwoma okresami. Możliwym wyjaśnieniem tego faktu jest okoliczność, że ci sami badacze
wyszukują te same typy luk w zabezpieczeniach. Wielu badaczy, którzy publikują wiadomości na forach
dyskusyjnych, takich jak BugTraq, wyszukuje tylko łatwe do wykorzystania luki w zabezpieczeniach aplikacji
internetowych.
Większość luk w zabezpieczeniach określonych jako łatwe do wykorzystania (53% w okresie od 1 lipca do
31 grudnia 2004 r.) nie wymaga w ogóle żadnego specjalnego kodu. Wskaźnik ten wzrósł nieznacznie
w porównaniu z poprzednim badanym okresem, gdy wynosił 52%, natomiast w porównaniu z analogicznym
okresem roku poprzedniego wzrósł o 5 punktów procentowych. Pozorny spadek liczby łatwych do
wykorzystania luk w zabezpieczeniach w lipcu, widoczny na rys. 17, jest spowodowany małą ogólną liczbą
luk wykrytych w tym miesiącu.
Luki w zabezpieczeniach zakwalifikowane jako łatwe do wykorzystania są prawie wyłącznie związane
z błędami kontroli poprawności wejścia w aplikacjach internetowych. Luki te umożliwiają wykonanie
destrukcyjnego skryptu przez przeglądarkę internetową (cross-site scripting) oraz wprowadzenie kodu
HTML (HTML injection) i SQL (SQL injection). Odsetek luk w zabezpieczeniach, do wykorzystania których
41
nie jest wymagany żaden kod, stale wzrasta wraz ze wzrostem udziału luk w zabezpieczeniach aplikacji
internetowych. (Więcej informacji na ten temat podajemy w omówieniu luk w zabezpieczeniach aplikacji
internetowych). Jest to odzwierciedleniem faktu, że wiele aplikacji jest obecnie udostępnianych
użytkownikom online za pośrednictwem sieci WWW. Takie zdalnie dostępne aplikacje często zawierają
łatwe do odnalezienia luki w zabezpieczeniach.
Luki w zabezpieczeniach, do których istnieje wykorzystujący je kod
W drugim półroczu 2004 r. firma Symantec udokumentowała 201 luk w zabezpieczeniach, dla których był
dostępny kod umożliwiający ich wykorzystanie (patrz rys. 18). Ze względu na dostępność kodu
umożliwiającego wykorzystanie, luki takie są uznawane za łatwe do wykorzystania. Udział procentowy luk
z dostępnym kodem umożliwiającym ich wykorzystanie w ogólnej liczbie wykrytych luk wyniósł 14%, co jest
wskaźnikiem nieznacznie wyższym niż 13% zaobserwowane w pierwszym półroczu 2004 r. Wskaźnik ten
w analogicznym okresie poprzedniego roku wynosił 18%, a więc był znacznie wyższy. Zmniejszenie udziału
procentowego luk, do których dostępny jest kod umożliwiający ich wykorzystanie, wynika przypuszczalnie
z faktu, że w drugim półroczu 2004 r. wzrósł udział wykrytych luk w zabezpieczeniach aplikacji
internetowych, których wykorzystanie zazwyczaj nie wymaga specjalnego kodu.
20%
18%
14%
14%
Odsetek
15%
10%
5%
0%
Okres
Rys. 18. Luki w zabezpieczeniach, do których istnieje wykorzystujący je kod, udokumentowane w ciągu ostatnich 18 miesięcy
Spośród 202 udokumentowanych w badanym okresie luk w zabezpieczeniach, do których istnieje
wykorzystujący je kod, 76% zostało zakwalifikowanych jako zagrożenia o wysokim poziomie istotności (patrz
rys. 19). Jest to znaczny wzrost w stosunku do poprzedniego okresu, w którym do wysokiego poziomu
istotności zaliczono 64% udokumentowanych luk.
42
Fakt, że większość luk w zabezpieczeniach, do których istnieje wykorzystujący je kod, jest zakwalifikowana
jako zagrożenia o wysokim poziomie istotności, nie jest zaskoczeniem. Godne uwagi jest jednak to, że
odsetek takich luk wydaje się rosnąć. Odzwierciedla to nastawienie autorów takiego kodu (hakerów), którzy
koncentrują swoje wysiłki związane z jego opracowywaniem na przypadkach, które mogą przynieść
największe skutki. Jest to niepokojąca tendencja, gdyż natychmiastowa dostępność kodu umożliwiającego
wykorzystania luki skraca czas, w którym administratorzy muszą wdrożyć programy korygujące, zanim
ryzyko złamania zabezpieczeń systemu znacznie wzrośnie. (Dokładniejsze omówienie czasu upływającego
między ujawnieniem luki a pojawieniem się wykorzystującego ją destrukcyjnego kodu znajduje się
w podrozdziale „Czas opracowywania kodu wykorzystującego luki w zabezpieczeniach”).
80
60
40
20
0
Lipiec
Sierpień
Wrzesień
Październik
Listopad
Grudzień
Miesiąc
Rys. 19. Luki w zabezpieczeniach, do których istnieje wykorzystujący je kod, w rozbiciu na poziom istotności
Czas opracowywania kodu wykorzystującego luki w zabezpieczeniach
Czas upływający od ujawnienia luki w zabezpieczeniach do udostępnienia programu korygującego lub innej
metody ochrony jest określany jako „okno narażenia” (window of exposure). Jeśli w ciągu tego czasu
zostanie opracowany i opublikowany kod wykorzystujący tę lukę, komputery mogą zostać narażone na
natychmiastowy, masowy atak. Im krótszy jest czas pomiędzy ujawnieniem luki a opublikowaniem
wykorzystującego ją kodu, tym większa liczba hostów może zostać zaatakowana, zanim zostaną
udostępnione właściwe programy korygujące.
W okresie od 1 lipca do 31 grudnia 2004 r. średni czas upływający od ujawnienia luki do opublikowania
wykorzystującego ją kodu wynosił 6,4 doby (patrz rys. 20). Oznacza to wzrost o ponad 0,5 doby w stosunku
do poprzedniego półrocza. W pierwszym półroczu 2004 r. kod wykorzystujący luki w zabezpieczeniach
43
pojawiał się średnio w ciągu 5,8 doby po opublikowaniu danej luki. W porównaniu do jeszcze
wcześniejszego okresu, średni czas opracowywania kodu wykorzystującego luki w zabezpieczeniach wzrósł
o niecałą dobę.
Od pierwszego półrocza 2004 r. średni czas upływający od opublikowania luki w zabezpieczeniach do
pojawienia się funkcjonalnego kodu umożliwiającego jej wykorzystanie, opracowanego przez niezależne
osoby, pozostaje krótszy od jednego tygodnia. Wskazuje to na konieczność jak najszybszego wdrażania
przez administratorów programów korygujących lub innych środków ochrony przed nowymi zagrożeniami.
Zadanie to jest szczególnie trudne w wielkich przedsiębiorstwach i instytucjach, w których wdrożenie
programów korygujących na wszystkich komputerach w ciągu kilku dni jest bardzo poważnym wyzwaniem.
Przy tak krótkim czasie upływającym między ujawnieniem luki, a opracowaniem wykorzystującego ją kodu,
cenną pomocą dla administratorów jest usługa powiadamiania o nowych lukach oraz dystrybucji
odpowiednich informacji o środkach ochrony lub programach korygujących. Ważne jest także zrozumienie
potencjalnych zagrożeń związanych z każdą luką.
10
8
Doby
6
4
2
0
Styczeń
Luty
Marzec
Kwiecień
Maj
Czerwiec
Lipiec
Sierpień
Wrzesień Październik Listopad
Grudzień
Miesiąc
Rys. 20. Średni czas (w dobach) opracowywania kodu wykorzystującego luki w zabezpieczeniach, w rozbiciu na miesiące 2004 r.
Luki w zabezpieczeniach aplikacji internetowych
Aplikacje internetowe to technologie, które w charakterze interfejsu użytkownika wykorzystują przeglądarkę.
Są one często udostępniane z serwerów WWW w trybie hostingu. Luki w zabezpieczeniach aplikacji
internetowych są zazwyczaj wykorzystywane przez takie rodzaje ataków, jak wykonywanie skryptów z innej
witryny (cross-site scripting) oraz wprowadzanie kodu SQL (SQL injection) i HTML (HTML injection). Luki
takie mogą umożliwić hakerowi dostęp do poufnych informacji z baz danych bez konieczności łamania
44
zabezpieczeń jakiegokolwiek serwera.
W okresie od 1 lipca do 31 grudnia 2004 r. firma Symantec skatalogowała 670 luk w zabezpieczeniach
aplikacji internetowych, co stanowi prawie połowę (48%) łącznej liczby luk ujawnionych w tym okresie
(patrz rys. 21). Jest to wskaźnik znacznie wyższy niż w pierwszym półroczu 2004 r., gdy wyniósł 39%, oraz
w analogicznym okresie roku 2003, gdy wyniósł 32%.
Jak wskazano w omówieniu łatwości wykorzystania luk, luki w zabezpieczeniach aplikacji internetowych są
często klasyfikowane jako łatwe do wykorzystania, a wzrost ich liczby znacznie przyczynił się do tak dużej
łącznej liczby łatwych do wykorzystania luk. Wzrost ten przypuszczalnie wiąże się z coraz szerszym użyciem
sieci WWW jako narzędzia do tworzenia i udostępniania aplikacji. W miarę, jak rośnie powszechność
aplikacji internetowych, związane z nimi luki w zabezpieczeniach stają się powodem do coraz większego
niepokoju. Przykładem tego jest Perl.Santy36, pierwszy robak atakujący aplikację internetową. Robak ten
został wykryty w grudniu 2004 r., a jego celem była popularna aplikacja phpBB. Jak z tego wynika, osoby
odpowiedzialne za bezpieczeństwo systemów muszą szybko reagować na nowe luki w zabezpieczeniach,
wdrażać tylko te aplikacje internetowe, które są niezbędne do funkcjonowania przedsiębiorstwa lub
instytucji, oraz kontrolować wszystkie wdrażane aplikacje internetowe pod kątem bezpieczeństwa.
800
670
600
491
369
400
200
0
Okres
Rys. 21. Wzrost liczby luk w zabezpieczeniach aplikacji internetowych w okresie ostatnich 18 miesięcy
36
http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html. Dokładniejsze omówienie robaka Santy można znaleźć w rozdziale „Tendencje
dotyczące destrukcyjnego kodu” niniejszego Raportu.
45
Luki w zabezpieczeniach przeglądarek internetowych
Przeglądarki internetowe to aplikacje o podstawowym znaczeniu i bardzo powszechnie stosowane. Kwestie
bezpieczeństwa przeglądarek były w ostatnich kilku latach przedmiotem dużego zainteresowania opinii
publicznej. Strategie ochrony systemów informatycznych tradycyjnie koncentrowały się na brzegach sieci,
tj. serwerach, zaporach ogniowych i innych zasobach dostępnych z zewnątrz. Jednak ostatnio nastąpiło
wyraźne przesunięcie zainteresowania, gdyż coraz ważniejsze staje się zabezpieczanie systemów po stronie
klienta, głównie komputerów osobistych wykorzystywanych przez użytkowników. Raport firmy Symantec na
temat bezpieczeństwa w Internecie przewidział tę tendencję i pilnie śledził ją w ciągu kilku ostatnich
badanych okresów.
Głośne problemy z bezpieczeństwem systemów po stronie klienta prawie wyłącznie były związane z lukami
w zabezpieczeniach przeglądarki Microsoft Internet Explorer – jednej z najpowszechniej używanych
aplikacji-klientów. Krytycyzm wobec tej przeglądarki, będący wynikiem wielu szeroko nagłośnionych luk
w jej zabezpieczeniach, przyczynił się do promocji innych przeglądarek, zwłaszcza Mozilla, Firefox i Opera,
jako bezpieczniejszych rozwiązań alternatywnych.
W niniejszej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie po raz pierwszy
porównujemy dane dotyczące luk w zabezpieczeniach różnych przeglądarek, a mianowicie Microsoft
Internet Explorer, Mozilla, Mozilla Firefox, Opera i Apple Safari. Metodyka tej analizy jest opisana
w Załączniku C do niniejszego Raportu i wymaga zwrócenia uwagi na pewne istotne zastrzeżenia przed
wyciągnięciem jakichkolwiek wniosków. Oprócz tego należy przy rozpatrywaniu tych danych uwzględnić
następujące okoliczności:
W analizie uwzględniono tylko luki w zabezpieczeniach, które można było zweryfikować i które zostały
potwierdzone przez dostawcę przeglądarki.
Liczba luk w zabezpieczeniach przeglądarek WWW może nie odpowiadać dokładnie liczbie biuletynów
dotyczących ochrony lub programów korygujących opublikowanych przez dostawców. Jest to spowodowane
trudnościami w rozpoznawaniu poszczególnych luk w przypadku bardzo skomplikowanej często metody
ataku z użyciem przeglądarki.
Nie każda wykryta luka w zabezpieczeniach jest wykorzystywana. W chwili opracowywania niniejszego
raportu nie był znany żaden przypadek masowego wykorzystania luki w zabezpieczeniach jakiejkolwiek
przeglądarki poza przeglądarką Microsoft Internet Explorer. Firma Symantec przewiduje, że sytuacja ta
ulegnie zmianie, gdy wzrośnie popularność innych przeglądarek.
W okresie od 1 lipca do 31 grudnia 2004 r. firma Symantec udokumentowała 13 luk w zabezpieczeniach
przeglądarki Microsoft Internet Explorer (patrz rys. 22). Jest to liczba o wiele większa niż w pierwszym
półroczu 2004 r., w którym firma Symantec udokumentowała tylko 3 luki w zabezpieczeniach tej
przeglądarki oraz w którym wykryto również mniej luk w zabezpieczeniach wszystkich przeglądarek łącznie.
Jednak liczba wykrytych luk w zabezpieczeniach przeglądarki Internet Explorer spadła w stosunku do
maksymalnej wielkości 17, jaka wystąpiła w drugim półroczu 2003 r. Spadek ten przypuszczalnie jest
spowodowany dwoma czynnikami: po pierwsze wysiłkami podjętymi przez firmę Microsoft na rzecz
zabezpieczenia przeglądarki i skorygowania utajonych luk w jej zabezpieczeniach, a po drugie
przeniesieniem zainteresowania badaczy luk na inne przeglądarki, sprzedawane lub promowane jako
rzekomo bezpieczne.
46
25
Mozilla Firefox
Mozilla Browser
Microsoft Internet Explorer
Apple Safari
Opera
20
15
10
5
0
Okres
Rys. 22. Luki w zabezpieczeniach przeglądarek w latach 2003-2004
W drugim półroczu 2004 r. wykryto 21 luk w zabezpieczeniach przeglądarek Mozilla. Jest to ogromny
wzrost w stosunku do poprzedniego okresu, gdy udokumentowano tylko jedną taką lukę, oraz w stosunku
do analogicznego okresu poprzedniego roku, gdy liczba ta wyniosła 7. Zwraca uwagę fakt, że po raz
pierwszy wykryto więcej luk w zabezpieczeniach przeglądarki Mozilla niż przeglądarki Microsoft Internet
Explorer. Nasilenie badań nad bezpieczeństwem przeglądarek Mozilla jest bezpośrednim skutkiem ich
rosnącej popularności i coraz szerszego wdrażania, co z kolei jest reakcją na częste i mocno nagłośnione
przypadki wykorzystywania luk w zabezpieczeniach przeglądarki Internet Explorer.
W drugim półroczu 2004 r. udokumentowano 6 luk w zabezpieczeniach przeglądarki Opera, co oznacza
wzrost w stosunku do pierwszego półrocza tego roku, gdy liczba ta wyniosła 4. W drugim półroczu 2003 r.
firma Symantec udokumentowała 3 luki w zabezpieczeniach tej przeglądarki. Ten stały wzrost widoczny
w ciągu ostatnich 18 miesięcy odzwierciedla rosnące zainteresowanie badaczy tą przeglądarką, aczkolwiek
była ona przedmiotem zainteresowania już od jakiegoś czasu. Najwięcej luk w zabezpieczeniach
przeglądarki Opera odnotowano w pierwszym półroczu 2003 r., mianowicie 9. Interesujące jest, że luki
w zabezpieczeniach tej przeglądarki są wykrywane i publikowane regularnie od co najmniej dwóch lat. Od
czasu pojawienia się tej przeglądarki, Opera jest popularna wśród niszowej grupy użytkownikówzapaleńców. Jest możliwe, że te stałe badania są prowadzone właśnie przez tę grupę użytkowników.
W drugim półroczu 2004 r. nie wystąpiły żadne potwierdzone przez dostawcę luki w zabezpieczeniach
przeglądarki Safari. Jest to fakt cokolwiek zaskakujący, jeśli wziąć pod uwagę rosnącą popularność systemu
Mac OS® X, która z kolei jest związana z sukcesem urządzenia iPod. W pierwszym półroczu 2004 r.
wykryto dwie luki w zabezpieczeniach przeglądarki Safari, a w drugim półroczu 2003 r. tylko jedną.
47
Liczba wykrywanych luk w zabezpieczeniach przeglądarki Safari jest jak dotąd zbyt niska, by mogła
sugerować jakiekolwiek tendencje. Może to być związane z niezdolnością badaczy do wykrycia luk bądź po
prostu wiązać się z brakiem ich zainteresowania tą przeglądarką z powodu jej krótkiej obecności na rynku
i ograniczonego zakresu wdrożenia. Jednak firma Symantec uważa, iż w miarę jak pozycja przeglądarki
Safari na rynku będzie się umacniać, a liczba jej użytkowników będzie rosnąć, badacze będą nadal
znajdować luki w jej zabezpieczeniach.
Ogólny spadek liczby luk w zabezpieczeniach przeglądarki Internet Explorer, obserwowany w ciągu całego
roku 2004, jest prawdopodobnie spowodowany dwoma czynnikami: po pierwsze wysiłkami podjętymi przez
firmę Microsoft na rzecz zabezpieczenia przeglądarki, a po drugie przeniesieniem zainteresowania badaczy
luk na coraz bardziej popularne przeglądarki alternatywne. Jak dotąd prawie wszystkie doniesienia
o wykorzystaniu luk w zabezpieczeniach przeglądarek internetowych w warunkach rzeczywistej eksploatacji
dotyczyły przeglądarki Microsoft Internet Explorer. Chociaż wiarygodnych ataków na przeglądarki Mozilla,
Mozilla Firefox, Opera i Safari w warunkach rzeczywistej eksploatacji było niewiele (o ile w ogóle jakieś
były), dopiero przyszłość pokaże, czy przeglądarki te spełnią oczekiwania wielu użytkowników.
Luki w zabezpieczeniach przeglądarek internetowych w rozbiciu na poziomy istotności
Spośród 13 luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer udokumentowanych przez
firmę Symantec w okresie od 1 lipca do 31 grudnia 2004 r., 9 zostało zakwalifikowanych do wysokiego
poziomu istotności. W pierwszym półroczu tego roku wykryto 3 luki i wszystkie zostały zakwalifikowane do
wysokiego poziomu istotności. W drugim półroczu 2003 r. spośród 17 wykrytych luk, 16 było o wysokim
poziomi istotności. We wszystkich badanych okresach większość potwierdzonych przez dostawcę luk
w zabezpieczeniach przeglądarki Microsoft Internet Explorer zaliczano do wysokiego poziomu istotności.
Średnia ocena istotności potwierdzonych przez dostawcę luk w zabezpieczeniach przeglądarki Microsoft
Internet Explorer jest nieco wyższa niż dolna granica zakresu oceny zaliczającego do wysokiego poziomu
istotności.
W drugim półroczu 2004 r. do wysokiego poziomu istotności zakwalifikowano 11 spośród 21 wszystkich
wykrytych luk w zabezpieczeniach przeglądarek Mozilla. Natomiast w pierwszym półroczu tego roku do
wysokiego poziomu istotności zaliczono jedyną wykrytą w tych przeglądarkach lukę. W drugim półroczu
2003 r. udokumentowano 7 luk w zabezpieczeniach przeglądarek Mozilla, z czego 4 były o wysokim
poziomie istotności. Średnia ocena istotności luk w zabezpieczeniach przeglądarek Mozilla leży w zakresie
umiarkowanego poziomu istotności, ale zbliża się do jego górnej granicy.
W ostatnim badanym okresie wykryto 6 luk w zabezpieczeniach przeglądarki Opera, z czego tylko jedna
została zakwalifikowana do wysokiego poziomu istotności. W poprzednim półroczu udokumentowano 4 luki,
z czego ani jedna nie została zaliczona do wysokiego poziomu istotności. W drugim półroczu 2003 r. do
wysokiego poziomu istotności zakwalifikowano dwie spośród trzech skatalogowanych przez firmę Symantec
luk w zabezpieczeniach przeglądarki Opera. Średnia ocena istotności luk w zabezpieczeniach przeglądarki
Opera leży w zakresie umiarkowanego poziomu istotności.
Jak wspomniano w poprzednim podrozdziale, w okresie od 1 lipca do 31 grudnia 2004 r. nie wykryto ani
jednej luki w zabezpieczeniach przeglądarki Safari. Co więcej, w poprzednim okresie półrocznym nie
wykryto w tej przeglądarce żadnych luk o wysokim poziomie istotności. W drugim półroczu 2003 r. do
48
wysokiego poziomu istotności zaliczono jedyną lukę wykrytą w przeglądarce Safari. Średnia ocena istotności
luk w zabezpieczeniach przeglądarki Safari leży w zakresie wysokiego poziomu istotności, ale ponieważ
liczba wszystkich luk zarejestrowanych w bazie danych wynosi tylko 4, taka średnia jest zniekształcona
z uwagi na fakt, że próbka jest bardzo mała i wystąpiła w niej jedna luka o wysokim poziomie istotności37.
37
49
Tendencje dotyczące destrukcyjnego kodu
Niniejszy rozdział Raportu firmy Symantec na temat bezpieczeństwa w Internecie zawiera analizę zmian
sytuacji w zakresie destrukcyjnego kodu w drugim półroczu 2004 r. Firma Symantec gromadzi dane
z ponad 120 mln komputerów osobistych, w których wdrożono jej produkty antywirusowe, zarówno
u użytkowników indywidualnych jak i w środowiskach korporacyjnych. Technologie Symantec Digital
Immune System™ oraz Scan and Deliver umożliwiają klientom automatyzację procesu zgłaszania takich
danych. Poniższa dyskusja dotyczy próbek destrukcyjnego kodu zgłoszonych do firmy Symantec w celu
analizy w okresie od 1 lipca do 31 grudnia 2004 r.
Niniejszy rozdział zawiera analizę i omówienie destrukcyjnego kodu w dwóch aspektach: po pierwsze
z podziałem na poszczególne przykłady destrukcyjnego kodu, takie jak MyDoom i Netsky, a po drugie
z podziałem na kategorie lub typy kodu, takie jak wirusy i robaki. W niektórych przypadkach dana rodzina
destrukcyjnego kodu, jak np. wspomniane wyżej rodziny MyDoom i Netsky, obejmuje pewną liczbę
wariantów. Wariant jest to nowa wersja należąca do tej samej rodziny, wykazująca niewielkie różnice, ale
oparta na wersji oryginalnej. Dla celów niniejszego raportu poszczególne warianty danej rodziny są
traktowane jako oddzielne próbki ze względu na różnice w ich funkcjonalności.
W poprzednich edycjach Raportu firmy Symantec na temat bezpieczeństwa w Internecie rozdział
poświęcony tendencjom w zakresie destrukcyjnego kodu obejmował również oprogramowanie typu adware
i oprogramowanie szpiegowskie. Jednak ponieważ te nowe zagrożenia coraz bardziej narastają, w tym
wydaniu raportu poświęcono im oddzielny rozdział. W niniejszym rozdziale „Tendencje dotyczące
destrukcyjnego kodu” omówiono następujące tematy:
• Dziesięć najczęstszych próbek destrukcyjnego kodu
• Wirusy i robaki na platformę Win32
• Destrukcyjny kod na platformę Linux®
• Narażenie informacji poufnych
• Konie trojańskie
• Destrukcyjny kod do urządzeń mobilnych
• Destrukcyjny kod atakujący usługi P2P (sieci równorzędne), IM (natychmiastowe przesyłanie
wiadomości), IRC i CIFS
• Oprogramowanie typu bot
• Nowe tendencje w zakresie oprogramowania typu bot
• Destrukcyjny kod wykorzystywany do osiągania zysku
Chociaż poniższe omówienie zawiera również informacje na temat zapobiegania poszczególnym
analizowanym zagrożeniom i łagodzenia ich skutków, firma Symantec zaleca przede wszystkim
bezwzględne stosowanie najlepszych procedur w zakresie bezpieczeństwa w celu zapewnienia generalnej
ochrony przed atakami z użyciem destrukcyjnego kodu. Dla zapobieżenia infekcji przez destrukcyjny kod,
niezbędne jest wdrożenie najlepszych procedur bezpieczeństwa. Administratorzy powinni instalować
aktualne programy korygujące, zwłaszcza w przypadku komputerów udostępniających usługi publiczne
i komputerów, do których można uzyskać dostęp przez zaporę ogniową lub znajdujących się na brzegach
sieci, takich jak serwery HTTP, FTP, SMTP i DNS. Serwery poczty elektronicznej powinny być tak
skonfigurowane, by dopuszczać jedynie typy plików wymagane do prowadzenia działalności. Można również
50
użyć innych metod przesyłania plików, np. serwerów plików, usługi FTP bądź usługi SSH. Administratorzy
odpowiedzialni za ochronę powinni także instruować pracowników, aby nigdy nie uruchamiali
oprogramowania, które nie zostało zatwierdzone przez kierownictwo przedsiębiorstwa lub instytucji.
Firma Symantec zaleca, by użytkownicy wdrażali dogłębną ochronę38, w tym oprogramowanie antywirusowe
i zaporę ogniową. Użytkownicy powinni zapewnić, by na wszystkich komputerach biurkowych, przenośnych
i serwerach były instalowane wszystkie niezbędne programy korygujące dostarczane przez producenta
systemu operacyjnego. Użytkownicy nie powinni nigdy wyświetlać, otwierać ani aktywować żadnych
załączników do poczty elektronicznej, chyba że dany załącznik jest oczekiwany, pochodzi ze znanego,
godnego zaufania źródła oraz jego przeznaczenie jest znane.
Dziesięć najczęstszych próbek destrukcyjnego kodu
Podobnie jak w poprzednich edycjach Raportu firmy Symantec na temat bezpieczeństwa w Internecie,
wśród próbek destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w ostatnim półroczu 2004 r.
dominowały robaki powodujące masowe rozsyłanie poczty39. Osiem spośród dziesięciu próbek
destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w badanym okresie to różne warianty
takich robaków, obserwowanych również w poprzednich badanych okresach: Netsky40, Sober41, Beagle42
oraz MyDoom43.
Robaki powodujące masowe rozsyłanie poczty mogą zainfekować wielką liczbę użytkowników, gdyż droga
ich przenoszenia – poczta elektroniczna – jest jednym z najpowszechniejszych zastosowań Internetu.
Jednak w miarę, jak użytkownicy stają się coraz bardziej świadomi kwestii bezpieczeństwa, rośnie
wyrafinowanie robaków. Dlatego robaki skutecznie rozprzestrzeniające się przez pocztę elektroniczną
używają obecnie dodatkowych mechanizmów propagacji, takich jak sieci równorzędne, w związku z czym
trudniej jest je eliminować. Spośród ośmiu robaków tego typu występujących w rankingu dziesięciu
najczęściej zgłaszanych zagrożeń, cztery wykorzystywały takie dodatkowe mechanizmy propagacji.
Przykładem jest Beagle.AV 44, który rozprzestrzeniał się za pośrednictwem poczty elektronicznej i sieci
równorzędnych, a równocześnie dezaktywował produkty antywirusowe w celu utrudnienia jego usunięcia.
Chociaż kilka spośród próbek destrukcyjnego kodu zajmujących czołowe pozycje w rankingu występowało
także w poprzednich edycjach Raportu firmy Symantec na temat bezpieczeństwa w Internecie, pojawiły się
również nowe, jak np. wspomniany już Beagle.AV (patrz tab. 6). Gdy dany program destrukcyjny zdoła
skutecznie zainfekować wielką liczbę użytkowników, często tworzone są jego nowe warianty, gdyż występuje
większe prawdopodobieństwo, że podobne techniki będą znowu skuteczne. Na przykład użycie sieci
równorzędnych w połączeniu z robakami powodującymi masowe rozsyłanie poczty stało się tak
powszechne, że ten mechanizm propagacji jest stosowany przez aż cztery spośród ośmiu robaków tej
kategorii zajmujących czołowe pozycje w rankingu w badanym okresie (wszystkie one są wariantami
robaków Netsky, Beagle i MyDoom).
38
Dogłębna obrona (defense in depth) to podejście do ochrony, przy którym każdy system w sieci jest zabezpieczony w maksymalnym możliwym stopniu.
Obejmuje m.in. wdrożenie systemów antywirusowych, zapór ogniowych i systemów wykrywania włamań.
Robak powodujący masowe rozsyłanie poczty (mass-mailing worm) to aplikacja, która przenosi się głównie dołączając do wiadomości e-mail wysyłanych do
innych użytkowników kopie swojego kodu wykonywalnego.
40
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]
41
42
43
44
39
51
Pozycja w rankingu
1
2
3
4
5
6
7
8
9
10
Nazwa
Netsky.P
Sober.I
Gaobot
Spybot
Beagle.AV
Beagle.X
Mydoom.M
Netsky.Z
Netsky.D
Beagle.AW
Tabela 6. Dziesięć najczęściej zgłaszanych do firmy Symantec próbek destrukcyjnego kodu
Najczęściej zgłaszanym do firmy Symantec przykładem destrukcyjnego kodu w okresie od 1 lipca do
31 grudnia 2004 r. był robak Netsky.P 45. Warianty tego robaka, który po raz pierwszy został zaobserwowany
16 lutego 2004 r., zajmują trzy spośród dziesięciu czołowych pozycji w rankingu najczęściej zgłaszanych
próbek destrukcyjnego kodu w badanym okresie. Netsky rozprzestrzenia się w archiwum z rozszerzeniem
.zip, co umożliwia mu unikanie rozpoznania przez filtry. Ponieważ pliki z rozszerzeniem .zip są generalnie
uznawane za godne zaufania, występuje duże prawdopodobieństwo, że użytkownik rozpakuje plik
i niechcący uruchomi wirusa.
Drugim w rankingu najczęściej zgłaszanych próbek destrukcyjnego kodu w drugim półroczu 2004 r. jest
Sober.I 46, który w tym okresie po raz pierwszy pojawił się w tym rankingu. Sober.I to nowy wariant robaka
Sober, pierwszy raz zaobserwowany 19 listopada 2004 r. i od tego czasu szybko się rozprzestrzeniający.
Oryginalny robak Sober został po raz pierwszy zgłoszony 24 października 2003 r. Był to robak powodujący
masowe rozsyłanie poczty, który używał własnego mechanizmu obsługi protokołu SMTP. Robak sam się
rozsyłał w formie załącznika do wiadomości e-mail na adresy pobrane z zainfekowanego komputera.
Poprzednie warianty rodziny Sober także były skuteczne, czego świadectwem jest fakt, że cztery z nich
wystąpiły wśród 50 najczęściej zgłaszanych próbek destrukcyjnego kodu w dwóch poprzednich badanych
okresach.
W drugim półroczu 2004 r. w dalszym ciągu obserwowano wzrost znaczenia oprogramowania typu bot.
Jego przykłady zajmują dwie spośród dziesięciu czołowych pozycji w rankingu, podczas gdy w poprzednim
badanym okresie występował w nim tylko jeden przykład takiego oprogramowania. Program Gaobot zajął
trzecią pozycję w rankingu w ostatnim półroczu, a Spybot – czwartą. Gaobot zajmował także trzecią pozycję
w rankingu w poprzednim badanym okresie, natomiast Spybot nie występował wówczas na liście dziesięciu
najczęstszych próbek destrukcyjnego kodu.
Obecność tych dwóch próbek oprogramowania typu bot wśród dziesięciu czołowych pozycji rankingu może
wskazywać, że jego użycie w dalszym ciągu wzrasta, co zauważyliśmy już w poprzedniej edycji Raportu
firmy Symantec na temat bezpieczeństwa w Internecie. Może to być spowodowane dużym zróżnicowaniem
funkcji, jakie oprogramowanie tego typu może wykonywać na zainfekowanych komputerach. Temat ten jest
dokładniej omówiony niżej w podrozdziale poświęconym oprogramowaniu typu bot.
45
46
52
http://securityresponse.symantec.com/sarc/sarc.nsf/html/[email protected]
Piątą i szóstą pozycję w rankingu najczęściej zgłaszanych próbek destrukcyjnego kodu w drugim półroczu
2004 r. zajmują warianty robaka Beagle powodującego masowe rozsyłanie poczty. W poprzednim badanym
okresie Beagle.M zajmował ósmą pozycję w tym rankingu. Beagle używa podobnej techniki propagacji co
Netsky, idzie jednak o krok dalej i stosuje pliki .zip zabezpieczone hasłem47. Taktyka ta wykorzystuje fakt, że
użytkownicy są bardziej skłonni ufać plikom zabezpieczonym w taki sposób. Ponadto umożliwia to
przechodzenie takich załączników przez wiele bram i skanerów poczty elektronicznej, które nie są w stanie
skanować plików zabezpieczonych hasłem.
Wirusy i robaki na platformę Win32
Zagrożenia na platformę Win32 to programy wykonywalne działające z wykorzystaniem interfejsu
programowania (API) Win3248, który stanowi podstawę opracowywania oprogramowania do systemów
operacyjnych Windows. Taki program destrukcyjny działa w przynajmniej jednym systemie na platformie
Win32. Liczba zagrożeń na platformę Win32 znacznie wzrosła w 2004 r. (patrz rys. 23). Wzrost ten został
po raz pierwszy odnotowany w drugim półroczu 2002 r., a obecnie jest oczywiste, że trend ten się
utrzymuje, chociaż w drugim półroczu 2004 r. tempo tego wzrostu spadło.
W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała ponad 7360 nowych
wariantów wirusów i robaków na platformę Win32. Stanowi to wzrost o 64% w stosunku do pierwszego
półrocza tego roku, gdy liczba ta wyniosła 4496, oraz o ponad 332% w stosunku do drugiego półrocza
2003 r., gdy liczba ta wyniosła 1702. Według stanu na dzień 31 grudnia 2004 r., łączna liczba wariantów
destrukcyjnego kodu na platformę Win32 była bliska 17 500.
Łączna liczba wirusów i robaków
8,000
7,360
6,000
4,496
4,000
1,702
2,000
994
445
687
0
I–VI 2002 r.
VII–XII 2002 r.
I–VI 2003 r.
VII–XII 2003 r.
I–VI 2004
VII–XII 2004
Okres
Rys. 23. Nowe wirusy i robaki na platformę Win32 w rozbiciu na poszczególne okresy półroczne w latach 2002-2004
47
48
Hasło wymagane do otwarcia archiwum było podane w treści wiadomości e-mail bądź w postaci pliku w formacie JPEG załączonego do wiadomości. Bardziej
szczegółowe informacje można znaleźć pod adresem: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm!zip.html.
Interfejs programowania (API – application program interface) to zestaw narzędzi specyficznych dla danego systemu operacyjnego, umożliwiający programistom
pisanie oprogramowania do tego systemu. Interfejs programowania Win32 API stanowi standard opracowywania oprogramowania na platformę Windows.
53
W ostatnich kilku latach zagrożenia na platformę Win32 ogromnie się rozpowszechniły i obecnie występują
one częściej niż zagrożenia oparte na technikach skryptów i makr razem wzięte. Na początku częściej
występowały zagrożenia oparte na technikach skryptów i makr, ale sytuacja ta szybko uległa zmianie.
Przyczyną tego jest prawdopodobnie fakt, że po pojawieniu się nowej technologii łatwiej jest opracować do
niej destrukcyjny kod przy użyciu skryptu lub makra, gdyż język skryptowy jest łatwiejszy do opanowania
i użycia niż bardziej skomplikowane języki kompilowane.
Natomiast w miarę, jak autorzy kodu coraz lepiej zapoznają się z nową technologią i jej interfejsami
programowania, coraz bardziej korzystne staje się kompilowanie zagrożeń w kodzie macierzystym.
Zagrożenia oparte na technikach skryptów i makr wykorzystują obecność odpowiedniego mechanizmu
(hosta skryptów), który interpretuje i wykonuje kod. Jeśli taki interpreter nie jest dostępny na danym
komputerze lub został wyłączony przez reguły ochrony, skrypt nie zostanie wykonany. Nie dotyczy to
programu w kodzie macierzystym, który do wykonania nie wymaga żadnego interpretera. Ponieważ
destrukcyjny kod napisany w języku skryptowym lub jako makro jest również łatwiejszy do wykrycia przez
oprogramowanie antywirusowe niż skompilowana aplikacja, hakerzy piszący taki kod skłonni są raczej
używać języków kompilowanych i dzięki temu zwiększyć skuteczność „przeżycia” destrukcyjnego kodu.
Tylko w roku 2004 firma Symantec udokumentowała ponad 11 800 próbek (bez powtórzeń) zagrożeń na
platformę Win32. Jest to liczba większa niż łączna liczba wirusów na platformę DOS49 udokumentowanych
w latach 1986-1996, która wyniosła 10 tys. Tylko w październiku 2004 r. firma Symantec udokumentowała
1500 próbek zagrożeń na platformę Win32, a więc prawie tyle samo, co w całym drugim półroczu 2003 r.,
gdy było ich 1702.
Destrukcyjny kod na platformę Linux®
W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie ostrzegaliśmy, że
wkrótce mogą pojawić się robaki wykorzystujące luki w zabezpieczeniach systemu Linux i aplikacji
linuksowych50. Wydaje się, że ostrzeżenie to było w pełni uzasadnione. 21 grudnia 2004 r. doniesiono
o robaku Santy51. Był to pierwszy wykryty robak atakujący aplikację internetową, rozprzestrzeniający się
w sieci. Już wcześniej istniały robaki wykorzystujące serwery WWW i związane z nimi komponenty, ale
Santy był pierwszym robakiem, który wykorzystywał lukę w zabezpieczeniach oddzielnej aplikacji działającej
na serwerze WWW. Dokładniej mówiąc, wykorzystywał on lukę w zabezpieczeniach aplikacji phpBB 52, która
umożliwia wstrzykiwanie skryptu.
Santy jest interesujący z kilku powodów. Po pierwsze, chociaż zagraża on głównie systemom Linux, może
także zagrozić komputerom, na których działa aplikacja phpBB w systemie Windows lub innych systemach
operacyjnych. Santy używa wyszukiwarki Google do lokalizowania systemów zawierających możliwe do
wykorzystania luki w zabezpieczeniach. Jest to również pierwszy robak rozprzestrzeniający się w sieci, który
wykorzystuje luki w zabezpieczeniach aplikacji internetowej, a nie luki w zabezpieczeniach systemu
operacyjnego bądź samego serwera WWW. Firma Symantec przewiduje, że Santy może być pierwszym
z całej nowej serii robaków wykorzystujących tego rodzaju luki w zabezpieczeniach.
Santy został zaimplementowany jako skrypt w języku Perl, co ułatwia modyfikowanie do i dodawanie do
niego nowych możliwości funkcjonalnych. Pierwsza wersja robaka Santy jedynie przenosiła się do
atakowanego systemu i nadpisywała niektóre strony WWW w celu zniszczenia serwisu. Dwie kolejne wersje,
49
Przed wprowadzeniem systemu operacyjnego Windows 95, systemem operacyjnym używanym przez większość komputerów osobistych był DOS (Disk Operating
System). Wczesne wersje systemu Windows działały po prostu jako aplikacja w systemie operacyjnym DOS. Dlatego większość destrukcyjnego kodu opracowywanego
przed 1995 r. była przeznaczona do systemu DOS, podobnie jak większość współczesnego destrukcyjnego kodu jest przeznaczona do systemu Windows.
50
Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI, wrzesień 2004, str. 45: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539.
51
52
54
Santy.B i Santy.C, zostały tak zmodyfikowane, że instalowały ponadto na zainfekowanym systemie serwer
tylnego wejścia i oprogramowanie typu bot obsługujące IRC, a ponadto używały różnych wyszukiwarek do
lokalizowania systemów podatnych na atak. Stało się to konieczne, ponieważ serwis Google zaczął
odfiltrowywać żądania wyszukiwania generowane przez tego robaka. Oprócz tego te warianty robaka Santy
potrafiły wykorzystywać podobne luki w zabezpieczeniach umożliwiające wstrzykiwanie kodu w różnych
innych aplikacjach internetowych, poza phpBB.
Luka w zabezpieczeniach wykorzystywana przez robaka Santy została opublikowana na forum dyskusyjnym
BugTraq w dniu 11 lipca 2004 r. W dniu 18 listopada 2004 r. dostawca aplikacji phpBB potwierdził jej
istnienie, a następnego dnia opublikował do niej program korygujący. Od tamtego dnia do chwili pierwszego
doniesienia o robaku Santy upłynął nieco ponad miesiąc, a więc dostatecznie dużo czasu, by większość
użytkowników mogła przetestować program korygujący i wdrożyć go w systemach podatnych na atak.
Pomimo to pozostało bardzo dużo systemów niezabezpieczonych, które robak mógł zainfekować.
Przypuszczalnie jest to związane z faktem, że wdrażanie programów korygujących w systemie Linux jest
znacznie bardziej skomplikowane niż w systemach firmy Microsoft.
Robak Santy nadpisywał strony WWW w zainfekowanym serwerze, zastępując je stroną zawierającą tekst
„This site is defaced!!! NeverEverNoSanity WebWorm generation X” (gdzie X jest liczbą witryn zniszczonych
przez dany szczep robaka). W czasie opracowywania niniejszego Raportu, kwerenda w wyszukiwarce
Google wyszukująca powyższy tekst zwracała ponad 30 tys. wyników53. Widać z tego, jak ważne jest, by
użytkownicy byli informowani o nowych lukach w zabezpieczeniach i dostępności programów korygujących,
a także o sposobach obejścia zagrożeń i strategiach niwelowania ich skutków.
W przypadkach, gdy luka w zabezpieczeniach zagraża aplikacji lub usłudze, które muszą być dostępne
publicznie, jak to ma miejsce w przypadku aplikacji internetowych, programy korygujące powinny być
wdrażane jak najszybciej. Luki w zabezpieczeniach usług internetowych zwykle nie mogą być eliminowane
przy użyciu typowych strategii (tj. normalnie rekomendowanych dla innych usług dostępnych zdalnie),
takich jak użycie zapory ogniowej do blokowania lub filtrowania ruchu przechodzącego przez port, gdyż
usługi takie mają krytyczne znaczenie dla przedsiębiorstwa, które musi wymieniać dane z użytkownikami
zewnętrznymi.
Narażenie informacji poufnych
Zapewne w każdym komputerze znajdują się informacje, które ich właściciel wolałby zachować
w poufności. Takie informacje, jak adresy e-mail, poufne dokumenty, buforowane dane uwierzytelniające
czy informacje finansowe, znajdują się na dyskach komputerów zarówno korporacyjnych, jak i domowych.
Gdy komputer zostanie zainfekowany przez destrukcyjny kod, wszystkie takie informacje mogą być
odczytane, ujawnione i zmodyfikowane bez upoważnienia. Niektóre programy destrukcyjne są zresztą
opracowywane specjalnie w celu kradzieży poufnych informacji z zainfekowanego komputera.
Liczba zagrożeń umożliwiających ujawnienie informacji poufnych w ciągu trzech ostatnich badanych
okresów stale rosła. W okresie od 1 lipca do 31 grudnia 2004 r. przykłady destrukcyjnego kodu ujawniające
informacje poufne stanowiły 54% wśród 50 najczęściej zgłaszanych firmie Symantec próbek destrukcyjnego
kodu, podczas gdy w pierwszym półroczu 2004 r. wskaźnik ten wynosił 44%, a w drugim półroczu 2003 r.
– 36%. Oznacza to wzrost o 23% w stosunku do pierwszego półrocza 2004 r. i o 50% w stosunku do
53
Liczba ta może obejmować również strony WWW, na których robak Santy jest jedynie omawiany, np. strony dostawców rozwiązań antywirusowych.
55
analogicznego okresu roku poprzedniego (patrz rys. 24). Wzrost ten częściowo jest spowodowany coraz
większym rozpowszechnianiem się oprogramowania typu bot, które dzięki swoim funkcjom dostępu
zdalnego umożliwia ujawnienie wszystkich informacji z zainfekowanego komputera. (Dokładniejsze
omówienie tego tematu znajduje się poniżej w podrozdziale „Oprogramowanie typu bot”).
Zagrożenie ujawnieniem informacji występuje w przypadku prawie wszystkich typów destrukcyjnego kodu,
w tym w przypadku koni trojańskich, robaków, wirusów i programów instalujących serwery tylnego wejścia.
Wiele robaków i koni trojańskich zawiera, oprócz innych funkcji, również funkcje rejestrowania sekwencji
naciśnięć klawiszy i funkcje tylnego wejścia. Taką funkcję rejestrowania sekwencji naciśnięć klawiszy –
oprócz mechanizmu propagacji i innych mechanizmów destrukcyjnych – zawierały np. różne warianty
Udział procentowy wśród 50 najczęściej zgłaszanych zagrożeń
robaka MyDoom.
60%
54%
50%
44%
40%
36%
30%
20%
10%
0%
Okres
Rys. 24. Zagrożenia dla poufności informacji ze strony destrukcyjnego kodu
Niektóre programy destrukcyjne rejestrujące sekwencje naciśnięć klawiszy, jak np. niektóre warianty
programu Spytbot, jedynie rejestrują wszystkie sekwencje naciśniętych klawiszy w zainfekowanym
komputerze. Inne mogą wykonywać bardziej skomplikowane funkcje zmierzające do ujawnienia informacji.
Na przykład koń trojański Banker 54 czeka aż użytkownik otworzy w przeglądarce WWW serwis bankowy
online i wówczas rejestruje informacje uwierzytelniające podawane przez użytkownika. Inne, takie jak
rodzina Bancos 55, czekają aż użytkownik odwiedzi określony serwis bankowy online, po czym imitują
interfejs serwisu bankowego w celu przechwycenia poufnych informacji użytkownika. Informacje te są
następnie przesyłane do hakera znajdującego się w odległej lokalizacji, który może użyć ich w celu
kradzieży danych osobowych lub po prostu zalogować się jako użytkownik i dokonać przelewu z konta.
Technika ta jest podobna do phishingu, który omawiamy w rozdziale „Dodatkowe zagrożenia dla
54
55
56
http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.banker.b.html
http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.bancos.html
bezpieczeństwa” niniejszego Raportu. Różnica polega jednak na tym, że właściwy phishing polega na
wysyłaniu wiadomości e-mail w celu skłonienia użytkowników do łączenia się z fałszywą witryną WWW,
podczas gdy powyższe przykłady dotyczą koni trojańskich imitujących interfejs użytkownika odpowiedniego
serwisu.
Program typu serwer tylnego wejścia (back door server), zwany krócej po prostu tylnym wejściem,
umożliwia hakerowi uzyskanie prawie nieograniczonego zdalnego dostępu do zainfekowanego komputera.
Haker może użyć tylnego wejścia do zainstalowania w komputerze innych programów, np. koni trojańskich
rejestrujących sekwencje naciśnięć klawiszy bądź innego oprogramowania monitorującego. Oprócz tego
tylne wejście może umożliwić hakerowi zdalne przeglądanie zawartości plików zapisanych w komputerze
lub odczytanie haseł przechowywanych w lokalnym buforze. Bufor haseł może zawierać informacje
umożliwiające zalogowanie na przykład do witryn bankowych online, jeśli użytkownik tak ustawił
konfigurację przeglądarki WWW, że zapisuje ona takie informacje. Niektóre tylne wejścia mogą nawet
umożliwić hakerowi w odległej lokalizacji włączenie kamery internetowej podłączonej do komputera
i oglądanie obrazu wideo z tej kamery w trybie strumieniowym bez wiedzy użytkownika56.
Użytkownicy mogą chronić się przed takim zagrożeniami przestrzegając zasady, by nigdy nie uruchamiać
nieznanych aplikacji, zwłaszcza otrzymanych w wiadomości e-mail bądź pobranych ze źródła, którego
wiarygodność nie jest pewna. Powinni oni także unikać logowania się do kont poczty elektronicznej opartej
na WWW i do witryn bankowych z publicznych terminali komputerowych, gdyż nie można zweryfikować
integralności takich systemów. Oprócz tego nie powinni używać tego samego hasła do uwierzytelniania się
w różnych aplikacjach, gdyż wówczas złamanie jednego hasła umożliwia hakerowi uzyskanie dostępu do
kilku źródeł poufnych danych. Ochronie przed złamaniem hasła sprzyja częsta zmiana haseł. Ponadto firma
Symantec zaleca użytkownikom, aby wyłączyli w przeglądarce WWW buforowanie danych (identyfikatora
i hasła) umożliwiających dostęp do witryn WWW.
Konie trojańskie
Konie trojańskie są głównym sposobem ujawniania informacji. Koń trojański to program, który celowo
wprowadza użytkownika w błąd co do swojej funkcjonalności przez mylącą nazwę, lokalizację lub wygląd.
Koń trojański nie replikuje się samodzielnie, ale może spowodować szkody lub w jakiś sposób złamać
zabezpieczenia komputera. W pierwszym półroczu 2004 r. programy tej kategorii zajmowały drugą pozycję
w rankingu liczby zgłoszeń od klientów firmy Symantec, ustępując tylko robakowi MyDoom. W drugim
półroczu tego roku konie trojańskie zajęły już pierwszą pozycję w tym rankingu, a przy tym stanowiły 33%
spośród 50 najczęściej zgłaszanych firmie Symantec próbek destrukcyjnego kodu (patrz rys. 25).
56
57
Odsetek 50 najczęstszych zgłoszeń
35%
33%
28%
21%
17%
15%
14%
7%
0%
Okres
Rys. 25. Udział procentowy koni trojańskich w 50 najczęściej zgłaszanych próbkach destrukcyjnego kodu
Ten wzrost liczby zgłaszanych koni trojańskich może być częściowo spowodowany zwiększeniem się liczby
przypadków wykorzystania luk w zabezpieczeniach przeglądarek WWW (zabezpieczeniach po stronie
klienta)57. Takie luki w zabezpieczeniach mogą umożliwić zainstalowanie konia trojańskiego w komputerze
bez wiedzy użytkownika. Ponieważ konie trojańskie nie zawierają mechanizmów propagacji (programy,
które zawierają takie mechanizmy, są klasyfikowane jako robaki lub wirusy), wykorzystanie luk
w zabezpieczeniach po stronie klienta stanowi efektywny mechanizm ich przenoszenia.
Koń trojański może być przechowywany na destrukcyjnej witrynie WWW, która usiłuje wykorzystać
specyficzną lukę w zabezpieczeniach przeglądarki WWW. Haker zachęca użytkowników do odwiedzenia
takiej witryny, np. zamieszczając łącze do niej w wiadomości e-mail przesyłanej jako spam. Jeśli użytkownik
przeglądarki zawierającej lukę w zabezpieczeniach odwiedzi taką witrynę, zostanie wykonany kod
wykorzystujący tę lukę, w wyniku czego w komputerze użytkownika zostanie zainstalowany koń trojański.
Na przykład koń trojański Phel
58
jest zazwyczaj instalowany w komputerze użytkownika z wykorzystaniem
luki w zabezpieczeniach przeglądarki Internet Explorer59, do której w momencie pojawienia się tego
programu nie było programu korygującego. Gdy koń trojański zostanie uruchomiony w komputerze, pobiera
z witryny hakera program typu tylne wejście60 i instaluje go w systemie.
Użytkownicy mogą podjąć szereg działań zapobiegających instalowaniu w ich komputerach aplikacji przy
wykorzystaniu luk w zabezpieczeniach przeglądarki WWW. Wyłączenie obsługi skryptów oraz aktywnej
zawartości przez przeglądarkę ogranicza możliwości pobierania i aktywowania kodu z destrukcyjnych witryn
WWW. Konsekwencje infekcji zostają także ograniczone, jeśli przeglądarka jest używana przez użytkownika
o niskim poziomie uprawnień.
57
Luki w zabezpieczeniach po stronie klienta umożliwiają atakowanie systemów komputerowych użytkowników indywidualnych (w odróżnieniu od serwerów
przedsiębiorstw lub instytucji). Obiektem ataku są takie aplikacje, jak przeglądarki WWW, klienty poczty elektronicznej, sieci równorzędne (peer-to-peer), klienty
natychmiastowego przesyłania wiadomości oraz odtwarzacze multimedialne. Luki takie często, choć nie zawsze, są skutkiem błędów logicznych lub wad systemów
kontroli dostępu. Luki takie, zwłaszcza w przypadku przeglądarek, są zazwyczaj łatwe do wykorzystania.
58
http://securityresponse.symantec.com/avcenter/venc/data/trojan.phel.a.html
59
60
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.coreflood.html
58
Destrukcyjny kod dla urządzeń mobilnych
Inteligentny telefon to telefon komórkowy, w którym działa system operacyjny o pełnych możliwościach,
pozwalający użytkownikowi na instalowanie różnego rodzaju oprogramowania. Wraz z coraz bardziej
popularnymi komputerami kieszonkowymi, określanymi także jako PDA (personal digital assistant – cyfrowy
asystent osobisty), inteligentne telefony stanowią nową klasę przenośnych urządzeń komputerowych. Ich
popularność przyciągnęła zainteresowanie hakerów, którzy zaczęli opracowywać kod destrukcyjny dla takich
urządzeń, zwłaszcza działających z systemami operacyjnymi PocketPC, Symbian® i Palm™.
Jak podaliśmy w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie,
pierwszy robak atakujący urządzenia mobilne, Cabir 61, pojawił się w czerwcu 2004 r.62 Niedługo potem
pojawiły się różne warianty tego robaka. Początkowo warianty te były tworzone po prostu przez użycie
edytora kodu heksadecymalnego w celu zmiany widocznych napisów (takich jak nazwy plików) w pliku
binarnym zawierającym kod oryginalnego robaka. Jednak w grudniu 2004 r. został opublikowany kod
źródłowy robaka i od tego czasu zostało opublikowanych wiele nowych wariantów tworzonych metodą
kompilacji zmodyfikowanego kodu źródłowego.
Do końca grudnia 2004 r. odkryto 11 nowych wariantów robaka Cabir. Wiele z nich zostało zawartych
w nowym koniu trojańskim o nazwie Skulls 63, który nie tylko instaluje robaka Cabir, lecz także wymienia
wiele aplikacji systemowych, uniemożliwiając normalne funkcjonowanie zaatakowanego urządzenia. Chociaż
większości tych nowych wariantów nie zaobserwowano w działaniu, pojawiły się doniesienia o niektórych
z nich z kilku krajów Azji Południowo-Wschodniej, takich jak Singapur i Filipiny64.
W dniu 17 lipca 2004 r. doniesiono o pierwszym zagrożeniu na platformę Windows CE. Był to prosty
dołączający się wirus, znany pod nazwą Duts 65. Wirus ten infekuje tylko urządzenia z procesorem ARM,
takie jak komputery Pocket PC, a jego funkcja ogranicza się do dołączania się do plików .exe w folderze
głównym. Wkrótce potem, 5 sierpnia 2004 r., pojawił się drugi program destrukcyjny na platformę Windows
CE – koń trojański Brador 66, instalujący tylne wejście. Brador otwiera nasłuchujący port TCP 2989
i oczekuje na instrukcje hakera, zgodnie z którymi może wykonać szereg różnych zadań, takich jak
wyświetlenie zawartości katalogu, przesłanie plików, wyświetlenie okienek z komunikatami, pobranie plików
oraz wykonanie poleceń systemu operacyjnego.
W styczniu 2004 r. odkryto także konia trojańskiego w grze do systemu Symbian67. Ten koń trojański,
noszący nazwę Mos 68, wysyła wiadomość SMS na numer telefoniczny o podwyższonej taryfie. Kod konia
trojańskiego został do gry włączony celowo przez jej autora w styczniu 2004 r., co miało chronić grę przed
nielegalnym użytkowaniem. Chociaż autor wkrótce potem usunął ten kod z aplikacji, nielegalne wersje
wysyłające wiadomości SMS były dostępne w sierpniu 2004 r. na popularnych witrynach z
oprogramowaniem pirackim.
Bezwzględna liczba zagrożeń dla urządzeń mobilnych w dalszym ciągu pozostaje mała, jednak w związku
z odkryciem różnych wariantów robaka Cabir, w ciągu ostatnich sześciu miesięcy raptownie wzrosła.
W czerwcu 2004 r. łączna liczba programów destrukcyjnych atakujących urządzenia mobilne wynosiła
cztery: był to jeden robak (Cabir), jeden wirus i dwa konie trojańskie. Pod koniec roku było już 13 robaków
(Cabir, Duts i ich warianty), jeden wirus i siedem koni trojańskich.
61
http://securityresponse.symantec.com/avcenter/venc/data/epoc.cabir.html
63
http://securityresponse.symantec.com/avcenter/venc/data/symbos.skulls.html
64
http://www.cellular-news.com/story/11546.shtml
65
http://securityresponse.symantec.com/avcenter/venc/data/wince.duts.a.html
66
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html
67
Gra ta nosi nazwę Mosquitos. Kod wybierający numery telefoniczne o podwyższonej taryfie był zawarty tylko w jej wczesnych oficjalnych wersjach. Autor gry
rozwiązał umowę o korzystanie z numeru o podwyższonej taryfie wkrótce po pojawieniu się doniesień o koniu trojańskim.
68
http://securityresponse.symantec.com/avcenter/venc/data/trojan.mos.html
62
59
Tym niemniej, liczba zagrożeń atakujących urządzenia mobilne nadal pozostaje bardzo mała. Większość
zagrożeń opracowanych jako dowód poprawności koncepcji (proof of concept) nie została wypuszczona do
sieci. Jednak sam fakt ich opracowania świadczy o dużym potencjale, jaki mają takie urządzenia. Przykład
konia trojańskiego Mos pokazuje, że urządzenia mobilne mogą już w niedalekiej przyszłości posłużyć jako
drogi dostarczania oprogramowania szpiegowskiego lub programów typu adware.
Do większości systemów operacyjnych dla urządzeń przenośnych istnieją produkty zabezpieczające, które
potrafią wykrywać destrukcyjny kod. Ponadto zainfekowaniu takim kodem można zapobiec, przestrzegając
powszechnie obowiązujących zasad bezpiecznego korzystania z komputera, a w szczególności nie
instalując nieznanych programów i nie przyjmując połączeń z nieznanych źródeł.
Destrukcyjny kod atakujący usługi P2P (sieci równorzędne), IM (natychmiastowe przesyłanie
wiadomości), IRC i CIFS
Usługi sieci równorzędnych (P2P – peer-to-peer) i usługa współużytkowania plików w systemie Windows
(CIFS) w dalszym ciągu są mechanizmami propagacji używanymi przez programy destrukcyjne zajmujące
czołowe pozycje w rankingu. Jednak wbrew powszechnym przewidywaniom, usługa natychmiastowego
przesyłania wiadomości (IM – instant messaging) nie jest powszechnie używana jako mechanizm
propagacji. Usługa IRC (Internet Relay Chat), chociaż jest powszechnie używana przez oprogramowanie
typu bot do komunikacji, nie była używana jako mechanizm propagacji przez żaden z 50 przykładów
destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w drugim półroczu 2004 r. (była
natomiast używana przez oprogramowanie typu bot do komunikacji). Udział zagrożeń wykorzystujących
usługi P2P, IM, IRC i CIFS wśród 50 najczęściej zgłaszanych do firmy Symantec próbek destrukcyjnego
kodu wzrósł w ostatnich sześciu miesiącach o 39% (patrz rys. 26).
Jak widać z omawianego wyżej w niniejszym rozdziale rankingu dziesięciu najczęściej zgłaszanych próbek
destrukcyjnego kodu, dominującymi zagrożeniami w drugim półroczu 2004 r. w dalszym ciągu były
warianty robaków Netsky, Beagle i MyDoom. Sytuacja ta nie zmieniła się w stosunku do poprzedniego
badanego okresu. Wszystkie trzy robaki rozprzestrzeniają się przy użyciu sieci P2P. MyDoom po prostu
kopiuje się do współużytkowanego folderu serwisu Kazaa, ukrywając się pod mylącymi, zachęcającymi
nazwami plików. Netsky i Beagle przeszukują dysk komputera, lokalizują każdy katalog, który może być
współużytkowanym folderem usługi P2P, po czym kopiują się do takiego katalogu z różnymi nazwami,
których często poszukują użytkownicy. Gdy użytkownik przeszukuje sieć równorzędną w celu zlokalizowania
pliku i kryteria wyszukiwania pasują do takiej nazwy, robak zostaje pobrany i uruchomiony, co umożliwia
mu dalsze rozprzestrzenianie.
60
60%
50%
50%
40%
36%
32%
30%
20%
10%
0%
Okres
Rys. 26. Zagrożenia wykorzystujące usługi P2P, IM, IRC i CIFS
Często stosowaną drogą propagacji oprogramowania typu bot w systemach Windows pozostaje w dalszym
ciągu usługa współużytkowania plików firmy Microsoft (CIFS). Takie zagrożenia, jak Gaobot i Spybot (oba te
programy znalazły się w pierwszej dziesiątce rankingu w badanym okresie) wykorzystują słabe (tj. łatwe do
odgadnięcia) hasła w systemach Windows. Korzystając ze słownika często używanych haseł, próbują one
połączyć się z odległym komputerem z systemem Windows. Jeśli połączenie dojdzie do skutku, kopiują się
do komputera i zdalnie się uruchamiają. Spośród 50 najczęściej zgłaszanych zagrożeń w okresie od 1 lipca
do 31 grudnia 2004 r., 30% używa usługi CIFS jako mechanizmu propagacji.
Od dawna spekulowano, zwłaszcza w mediach, że usługi natychmiastowego przesyłania wiadomości (IM)
staną się kiedyś skutecznym sposobem przenoszenia destrukcyjnego kodu. Jak dotąd przewidywania te nie
sprawdziły się. W ostatnim badanym okresie, podobnie jak w poprzednim półroczu, wśród 50 najczęstszych
przykładów destrukcyjnego kodu nie wystąpiło ani jedno zagrożenie wykorzystujące mechanizm IM.
Zdaniem firmy Symantec, jest to przypuszczalnie spowodowane faktem, że aplikacje typu IM używają
centralnego serwera, który przekazuje wiadomości pomiędzy użytkownikami, w związku z czym operator
Internetu lub usługi IM może łatwo filtrować komunikaty przenoszące destrukcyjny kod.
Usługi P2P i CIFS są powszechnie używane do codziennych celów zawodowych i prywatnych. Firma
Symantec przewiduje, że w dalszym ciągu będą opracowywane programy destrukcyjne wykorzystujące te
usługi do rozprzestrzeniania się. Ponadto takie mechanizmy, jak IRC są używane do przesyłania poleceń
i sterowania sieciami komputerów zainfekowanych oprogramowaniem typu bot. Z tego względu
przedsiębiorstwa i instytucje powinny zapewnić kontrolę swoich systemów pod kątem nieupoważnionego
użycia takich aplikacji oraz protokołów. Oprócz tego należy unikać niezabezpieczonych wersji tych usług
i ich aplikacji-klientów, a także egzekwować stosowanie trudnych do odgadnięcia haseł.
61
Oprogramowanie typu bot
Boty (skrót od słowa „robot”) to programy instalowane podstępnie w maszynie użytkownika, które pozwalają
nieautoryzowanym użytkownikom na zdalny dostęp do komputera. Cechą odróżniającą je od innych
podobnych rodzajów destrukcyjnego kodu jest ich wyjątkowa możliwość pracy sieciowej. Oprogramowanie
typu bot umożliwia hakerowi tworzenie sieci zainfekowanych komputerów, którymi następnie można zdalnie
sterować w celu wykonywania skoordynowanych czynności o charakterze destrukcyjnym przez wszystkie
komputery. Po ustanowieniu sieci komputerów zainfekowanych oprogramowaniem typu bot, haker może
wysyłać do nich polecenia za pośrednictwem rozgłoszeniowych kanałów komunikacyjnych, takich jak IRC.
Takie zainfekowane komputery mogą być używane do różnych nielegalnych celów, np. kradzieży
informacji, pośredniczenia w przekazywaniu ruchu sieciowego np. w protokołach SMTP i HTTP oraz
przeprowadzania rozproszonych ataków typu odmowa usługi (DoS).
Oprogramowanie typu bot często wykorzystuje kilka różnych mechanizmów propagacji do infekowania
innych komputerów. Może się samo kopiować do współużytkowanych napędów sieciowych
zabezpieczonych słabymi (łatwymi do odgadnięcia) hasłami, a także przenosić się za pośrednictwem sieci
równorzędnych, przez kopiowanie się do współużytkowanych folderów aplikacji-klienta usługi P2P.
Większość przykładów oprogramowania typu bot, takich jak Randex, Spybot i Gaobot, stosuje kilka
mechanizmów propagacji, które również wykorzystują luki w zabezpieczeniach usług dostępnych zdalnie,
np. lukę Microsoft Windows LSASS Buffer Overrun Vulnerability.69
Oprogramowanie typu bot stale dominuje wśród najczęściej zgłaszanych do firmy Symantec próbek
destrukcyjnego kodu. W drugim półroczu 2004 r. programy tego typu stanowiły 12% spośród 50
najczęstszych zgłoszeń. Oznacza to wzrost w stosunku do poprzedniego półrocza, gdy wskaźnik ten wynosił
10%, oraz w stosunku do drugiego półrocza 2003 r., gdy wskaźnik ten wynosił 9% (patrz rys. 27).
Udział procentowy wśród 50 najczęstszych zgłoszeń
15%
12%
10%
10%
9%
5%
0%
styczeń-czerwiec 2004 r
Okres
Rys. 27. Udział oprogramowania typu bot w 50 najczęściej zgłaszanych próbkach destrukcyjnego kodu
69
62
4,500
Warianty programu Gaobot
Warianty programu Randex
Warianty programu Spybot
4,000
Liczba nowych wariantów
3,500
3,000
2,500
2,000
1,500
1,000
500
0
Okres
Rys. 28. Liczba nowych wariantów oprogramowania typu bot
Jak zauważono w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie, liczba
udokumentowanych wariantów głównych programów typu bot stale rośnie. W ostatnim półroczu łączna
liczba nowych wariantów trzech najpopularniejszych programów tego typu – Randex, Gaobot i Spybot –
wyniosła blisko 6 tys. Oznacza to wzrost o 189% w stosunku do poprzedniego okresu sześciomiesięcznego,
w którym wykryto nieco ponad 3100 nowych wariantów. Oznacza to także wzrost aż o 1063% w stosunku
do analogicznego okresu roku poprzedniego, gdy liczba nowych wariantów wynosiła zaledwie 550.
Chociaż w okresie od 1 lipca do 31 grudnia 2004 r. łączna liczba wariantów wzrosła, wzrost ten dotyczył
tylko wariantów programu Spybot, podczas gdy liczba nowych wariantów programów Randex i Gaobot nie
wzrosła, a nawet lekko spadła. Natomiast liczba nowych wariantów programu Spybot wzrosła radykalnie
i wyniosła prawie 4300 (patrz rys. 28), co oznacza wzrost o 180% w stosunku do poprzedniego półrocza.
Liczba nowych wariantów programów Randex i Gaobot wyniosła – odpowiednio – 900 i 700. Warianty te
mają różne cechy charakterystyczne, np. stosują pakowanie kodu wykonywalnego70, różne metody
wykorzystywania luk w zabezpieczeniach oraz wykonują różne funkcje.
Powyższe dane niekoniecznie muszą oznaczać, że autorzy destrukcyjnego kodu porzucili programy Randex
i Gaobot na rzecz programu Spybot. Raczej należy przypuszczać, że ponieważ kod źródłowy wszystkich
tych trzech programów jest łatwo dostępny w Internecie, autorzy destrukcyjnego kodu tworzą nowe warianty
łącząc ich funkcje. W niektórych przypadkach produkt końcowy bardziej przypomina program Spybot niż
pozostałe dwa programy, wskutek czego jest klasyfikowany jako nowy wariant programu Spybot. Ponadto
szerokie stosowanie pakowania kodu wykonywalnego powoduje ciągły wzrost liczby nowych wariantów.
70
Pakowanie polega na kompresji i szyfrowaniu plików wykonywalnych systemu Windows. Jest to problem dla osób odpowiedzialnych za ochronę, gdyż utrudnia
wykrywanie destrukcyjnego kodu przez mechanizmy antywirusowe.
63
Nowe tendencje w zakresie oprogramowania typu bot
W ciągu ostatnich sześciu miesięcy analitycy firmy Symantec zaobserwowali niepokojące nowe tendencje
w ewolucji i tworzeniu oprogramowania typu bot. Większość takiego oprogramowania w charakterze kanału
sterowania wykorzystuje usługę IRC. Program tego typu zazwyczaj jest tak zaprogramowany, że łączy się
z określonym serwerem IRC i podłącza do określonego kanału. Po podłączeniu się do kanału, może on
zdalnie odbierać polecenia od hakera. To uzależnienie od scentralizowanego kanału komunikacji powoduje,
że sieci komputerów zainfekowanych oprogramowaniem typu bot są wrażliwe, gdyż wyłączenie serwera IRC
skutecznie przerywa komunikację między nimi a sterującym nimi hakerem.
W odpowiedzi na ten problem, komputery zainfekowane oprogramowaniem typu bot zaczynają używać
nowych metod komunikacji. System Symantec DeepSight Honeypots™ przechwycił dwa programy tego
typu – Moonlit 71 i Zincite 72 – które używają do komunikacji własnych sieci równorzędnych. Komunikacja ta
jest szyfrowana oraz używa losowo wybieranych portów sieciowych w celu uniknięcia wykrycia. Zamiast
łączyć się z centralnym serwerem w celu odebrania poleceń, programy te utrzymują listę adresów IP
zainfekowanych komputerów. Wskutek tego usunięcie dowolnego węzła równorzędnego z sieci nie wpływa
na pozostałe, co utrudnia zamknięcie całej sieci.
Drugim nowym zjawiskiem w komunikacji komputerów zainfekowanych oprogramowaniem typu bot jest
wykorzystanie do wysyłania poleceń protokołu POP373. Zaobserwowano to w programie Sconato 74, który
zawiera także funkcję rejestrowania sekwencji naciśnięć klawiszy. Program ten łączy się z określonym
serwerem poczty i odbiera wiadomości e-mail z załącznikami. W załącznikach tych są ukryte polecenia,
które umożliwiają sterowanie programem i dzięki temu manipulowanie różnymi aspektami zainfekowanego
środowiska. Ponadto program Sconato może odpowiadać na polecenia, wysyłając wiadomości e-mail do
serwera poczty. Ponieważ komunikacja w protokole POP3 występuje powszechnie w większości sieci, taki
ruch może łatwiej pozostać niezauważony niż połączenie z serwerem IRC. Oprócz tego,
prawdopodobieństwo, że porty używane do komunikacji w tym protokole będą filtrowane lub zostaną
zablokowane na brzegu sieci, jest mniejsze.
Destrukcyjny kod wykorzystywany do osiągania zysku
Wydaje się, że użycie destrukcyjnego kodu do osiągania zysku staje się coraz poważniejszym problemem.
Można przewidywać, że duży udział w tej tendencji będzie miało oprogramowanie typu bot. Przechwycony
przez system Symantec DeepSight Honeypot program Spammerbot 75 został przypuszczalnie
zaprojektowany w celu przekazywania wielkiej ilości niechcianej poczty elektronicznej (spamu). Zawiera on
serwer proxy SMTP, który służy do wysyłania spamu z komputerów zdalnie kontrolowanych przez hakera.
Od dawna chodzą pogłoski, że na kanałach IRC kwitnie handel sieciami komputerów zainfekowanych
oprogramowaniem typu bot podobnym do opisanego powyżej. Na skutek stosowania czarnych list76,
spamerzy muszą stale pozyskiwać nowe adresy IP, z których mogą przesyłać wiadomości. Do tego celu
znakomicie nadają się zainfekowane komputery w domach i przedsiębiorstwach. Wśród 50 najczęściej
zgłaszanych do firmy Symantec próbek destrukcyjnego kodu zaobserwowano wzrost liczby programów
zawierających mechanizmy tranzytu ruchu SMTP, co potwierdza hipotezę o nasilaniu się tego rodzaju
działalności. W drugim półroczu 2003 r. udział programów destrukcyjnych zawierających funkcje tranzytu
71
https://tms.symantec.com/downloads/040809-Analysis-Backdoor.Moonlit.pdf
https://tms.symantec.com/downloads/040727-Analysis-Mydoom.M.pdf
POP3 to jeden z protokołów pocztowych, używany do pobierania poczty z serwera.
74
https://tms.symantec.com/downloads/040821-Analysis-Trojan.SconatoPOP3CommunicationChannel.pdf
75
https://tms.symantec.com/downloads/041203-Analysis-HarnessingBotNetworksForSpam.pdf
76
Czarne listy to praktyka rejestrowania adresów IP komputerów i sieci, które wysyłają spam. Gdy dany adres jest używany stale do wysyłania spamu, zostaje
umieszczony na czarnej liście i serwery poczty zostają tak skonfigurowane, by ignorować połączenia z takiego adresu.
72
73
64
SMTP wśród 50 najczęściej zgłaszanych próbek destrukcyjnego kodu wyniósł tylko 37%. Wskaźnik ten
wzrósł do 47% w pierwszym półroczu 2004 r. i do 53% w drugim półroczu tego roku (patrz rys. 29).
Kolejnym przykładem destrukcyjnego kodu opracowanego dla zysku jest Beagle.AV. Jest to wariant robaka
Beagle, który instaluje system tranzytowy SMTP. Został on zaobserwowany przez system Symantec
DeepSight Honeypots, gdy był używany do przekazywania poczty elektronicznej o charakterze phishingu.
Włączenie mechanizmów generowania zysków do destrukcyjnego kodu jest niepokojące. Firma Symantec
przewiduje, że tendencja merkantylnego wykorzystania destrukcyjnego kodu w dalszym ciągu będzie
kontynuowana, a ponadto rozszerzy się na inne formy, takie jak robaki. Z tego względu firma Symantec
będzie w dalszym ciągu pilnie monitorować tego rodzaju działalność.
60%
53%
50%
40%
47%
37%
30%
20%
10%
0%
Okres
Rys. 29. Destrukcyjny kod umożliwiający tranzytowe wysyłanie poczty SMTP
65
Dodatkowe zagrożenia dla bezpieczeństwa
W poprzednich edycjach Raportu firmy Symantec na temat bezpieczeństwa w Internecie zagrożenia były
tradycyjnie dzielone na trzy ogólne kategorie: ataki, luki w zabezpieczeniach i destrukcyjny kod. Jednak
w miarę, jak usługi i aplikacje internetowe rozwijały się i różnicowały, rosły możliwości opracowywania
programów komputerowych wprowadzających inne typy zagrożeń. Pojawienie się tych nowych zagrożeń,
a w szczególności spamu, phishingu, programów szpiegujących i typu adware, stworzyło potrzebę
rozszerzenia dotychczasowej taksonomii zagrożeń dla bezpieczeństwa.
Firma Symantec monitorowała nowo powstające zagrożenia dla bezpieczeństwa od początku ich rozwoju.
Sklasyfikowała je jako „dodatkowe zagrożenia dla bezpieczeństwa”. Niniejszy rozdział omawia dodatkowe
zagrożenia dla bezpieczeństwa w drugim półroczu 2004 r. W szczególności przedstawia tendencje
dotyczące programów szpiegujących i oprogramowania typu adware, phishingu oraz spamu.
Oprogramowanie typu adware i programy szpiegujące
Programy typu adware wyświetlają treści reklamowe na monitorze komputera, często bez uprzedniej zgody
i wiedzy użytkownika. Zazwyczaj, chociaż nie zawsze, treści takie są prezentowane w formie wyskakujących
okienek lub pasków wyświetlanych na ekranie. Programy typu adware nie zawsze są zagrożeniem dla
bezpieczeństwa. W niektórych przypadkach przekazują jedynie reklamę wyświetlaną na ekranie
użytkownika. Jednak nie zawsze ograniczają się tylko do tego.
Większość programów typu adware jest nieszkodliwa, jednak zależnie od możliwości funkcjonalnych
niektóre formy takiego oprogramowania stwarzają zagrożenie. Spełniają bowiem wybrane lub wszystkie
kryteria, które kwalifikują je jako zagrożenie dla bezpieczeństwa, takie jak naruszenie poufności,
dostępności lub integralności danych w systemie komputerowym. Oprogramowanie typu adware narusza
powyższe, jeśli:
• śledzi użycie sieci WWW przez użytkownika i kompiluje profil jego zachowania przy przeglądaniu
Internetu,
• zajmuje przepustowość sieci, pogarszając tym samym funkcjonalność i dostępność systemu
komputerowego,
• czasem modyfikuje Winsock.dll, aby monitorować zachowanie użytkownika przy przeglądaniu Internetu,
co narusza integralność komputera.
Kategoria programów szpiegujących obejmuje samodzielne programy, które skrycie monitorują aktywność
systemu i przekazują informacje do innego komputera. Niektóre programy szpiegujące są legalne, np.
programy wykorzystywane przez przedsiębiorstwa do monitorowania użycia Internetu przez pracowników
bądź wykorzystywane przez rodziców do monitorowania użycia Internetu przez dzieci. Często jednak
programy szpiegujące mają mniej uprawnione zastosowania.
Programy szpiegujące mogą być skrycie umieszczane w systemach użytkowników w celu przechwytywania
poufnych informacji, takich jak hasła, dane uwierzytelniające i informacje dotyczące kart kredytowych.
Można je zdobyć przez rejestrowanie sekwencji naciskanych klawiszy oraz przez przechwytywanie poczty
elektronicznej i ruchu w usłudze natychmiastowego przesyłania wiadomości. Ponieważ programy
szpiegujące mogą przechwytywać poufne informacje zanim zostaną one zaszyfrowane w celu transmisji,
77
66
Winsock (skrót od Windows Socket) to interfejs programowania (API), który umożliwia komputerom pracującym w systemie Windows komunikację przy użyciu
protokołu TCP/ IP.
mogą ominąć wdrożone zabezpieczenia, takie jak zapory ogniowe, bezpieczne połączenia i wirtualne sieci
prywatne. Programy szpiegujące stanowią szczególny powód do niepokoju ze względu na możliwość ich
użycia do kradzieży tożsamości i oszustw.
Ilość programów szpiegujących i typu adware
Chociaż programy szpiegujące i typu adware nie są traktowane jako przykłady destrukcyjnego kodu, firma
Symantec monitoruje i analizuje je przy użyciu tych samych metod, które są stosowane do destrukcyjnego
kodu. Na bieżąco analizuje zgłoszenia od klientów oraz dane przekazywane z ponad 120 mln systemów78
pocztowych – klientów, serwerów i bram – a także filtruje 25 mln wiadomości e–mail dziennie. Następnie
kompiluje raporty i tworzy ranking najpowszechniej występujących zagrożeń. Na koniec analizuje raporty,
aby stwierdzić, czy opisana aktywność jest związana z programami typu adware, szpiegującymi, czy też
z destrukcyjnym kodem.
Dziesięć najczęściej zgłaszanych programów typu adware
Jak stwierdzono w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie,
programy typu adware stanowią coraz większy powód do niepokoju79. W ciągu ostatnich sześciu miesięcy
udział procentowy programów typu adware wśród 50 najczęściej zgłaszanych do firmy Symantec próbek
destrukcyjnego kodu wzrósł w stosunku do poprzedniego półrocza 2004 r. W okresie od 1 stycznia do
30 czerwca 2004 r. programy typu adware stanowiły 4% spośród 50 najczęściej zgłaszanych próbek,
natomiast w okresie od 1 lipca do 31 grudnia 2004 r. wskaźnik ten wynosił już 5%.
Najczęściej zgłaszanym w drugim półroczu 2004 r. programem typu adware był Iefeats (zob. tab. 7),
którego udział wśród 10 najczęściej zgłaszanych programów wyniósł 36%. Program Iefeats może być
zainstalowany ręcznie, ale niekiedy jest włączany do innego oprogramowania. Ma on wiele zróżnicowanych
możliwości funkcjonalnych. Zainstalowany za pośrednictwem przeglądarki użytkownika, rejestruje się jako
obiekt pomocniczy przeglądarki (BHO)80. Modyfikuje klucze rejestru w taki sposób, by maksymalnie
utrudnić jego usunięcie.
Iefeats podmienia również stronę startową przeglądarki. W jej miejsce wyświetla stronę z własnym
mechanizmem wyszukiwania. Mechanizm ten może być wykorzystywany do śledzenia terminów, które
wyszukuje użytkownik, np. w celu ograniczenia wyników wyszukiwania do takich, które prowadzą na strony
reklamodawców finansujących przedsięwzięcie. Program ten nie tylko zużywa zasoby systemu, lecz także
podmienia stronę startową przeglądarki oraz pobiera szereg innych programów, które ułatwiają mu
wyszukiwanie w sieci WWW.
Drugą pozycję w rankingu najczęściej zgłaszanych programów typu adware w ostatnich sześciu miesiącach
2004 r. zajął InstantAccess. Jego udział wśród dziesięciu najczęściej zgłaszanych programów wyniósł
prawie 11%. Program ten pobiera wyskakujące okienka reklamowe i wyświetla je na ekranie komputera
użytkownika. Zwykle jest dołączany do innych programów i użytkownik pobiera go przy instalowaniu
potrzebnego mu oprogramowania.
Trzecią pozycję w rankingu najczęściej zgłaszanych programów typu adware w drugim półroczu 2004 r.
zajął Gator. Jego udział wśród dziesięciu najczęściej zgłaszanych programów wyniósł w tym okresie nieco
78
79
80
Chodzi o systemy, w których są wdrożone rozwiązania antywirusowe firmy Symantec.
Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 41: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539
Obiekt pomocniczy przeglądarki (BHO – browser help object) to dodatkowy program, który ma na celu uprawnione uzupełnienie możliwości funkcjonalnych przeglądarki
użytkownika (Internet Explorer 4.x lub nowsza wersja). Na przykład obiektami BHO są programy do odczytywania dokumentów z poziomu przeglądarki.
67
ponad 9%. Gator pobiera i wyświetla reklamy, a także śledzi zachowanie użytkownika podczas przeglądania
stron WWW i zakupów online. Przesyła informacje na ten temat do swoich centralnych serwerów.
Gator musi być zainstalowany ręcznie. Jednak istnieje wiele znanych programów, do których jest dołączany
i z którymi jest instalowany automatycznie. Stosowane są przy tym dwie techniki. Pierwsza polega na tym,
że użytkownikowi zostaje przedstawiona skomplikowana umowa licencyjna (EULA), z której wynika, że
zostanie zainstalowany Gator. Użytkownik jest proszony o zgodę na warunki licencji. Przez zaakceptowanie
umowy użytkownik (świadomie lub częściej nieświadomie ze względu na zawiłość licencji) zezwala na
zainstalowanie programu typu adware na swoim komputerze. Drugi sposób, stosowany przez niektóre
programy, polega na tym, że dołączony do pakietu Gator zostaje zainstalowany bez wiedzy i zgody
użytkownika.
Miejsce
w rankingu
1
2
3
4
5
6
7
8
9
10
Nazwa programu
typu adware
Iefeats
InstantAccess
Gator
Istbar
VirtuMonde
Binet
CDT
MainSearch
180Search
NetOptimizer
Tabela 7. Dziesięć najczęściej
zgłaszanych programów typu adware
Miejsce
w rankingu
1
2
3
4
5
6
7
8
9
10
Nazwa programu
szpiegującego
Webhancer
e2Give
Apropos
Look2Me
2020search
Dotcomtoolbar
Iwantsearch
ClientMan
Perfect
Shopnav
Tabela 8. Dziesięć najczęściej
zgłaszanych programów
szpiegujących
Dziesięć najczęściej zgłaszanych programów szpiegujących
Pierwszą pozycję w rankingu najczęściej zgłaszanych programów szpiegujących w drugim półroczu 2004 r.
zajął program Webhancer. Jego udział wśród 10 najczęściej zgłaszanych programów wyniósł 38% (zob.
tab. 8). Webhancer to program monitorujący zachowanie użytkownika podczas przeglądania Internetu.
Wysyła informacje na ten temat do centralnych serwerów. Program ten może być również uaktualniany
z takich serwerów. Uaktualnione wersje mogą zawierać dodatkowe możliwości funkcjonalne, również takie,
na które użytkownik nie zgodził się w ramach umowy licencyjnej. Program Webhancer jest zazwyczaj
dołączany do innego oprogramowania, zwłaszcza do niektórych programów współużytkowania plików
w sieciach równorzędnych.
Drugą pozycję w rankingu najczęściej zgłaszanych programów szpiegujących w okresie od 1 lipca do
31 grudnia 2004 r. zajął e2give, który jest obiektem pomocniczym przeglądarki Internet Explorer. Jego
udział wśród dziesięciu najczęściej zgłaszanych przez klientów firmy Symantec programów szpiegujących
wyniósł w tym okresie ponad 30%. Obiekt e2give śledzi witryny WWW odwiedzane przez użytkownika
i monitoruje długość czasu spędzanego przez użytkownika na każdej z nich. Może także śledzić takie
informacje, jak imię użytkownika, jego kod pocztowy, kraj, a także zbierać informacje dotyczące komputera.
Obiekt e2give może być instalowany ręcznie bądź przez formant ActiveX, który pobiera go z sieci.
68
Trzecią pozycję w rankingu najczęściej zgłaszanych programów szpiegujących w okresie ostatnich sześciu
miesięcy 2004 r. zajął Apropos. Jego udział wśród dziesięciu najczęściej zgłaszanych programów wyniósł
w tym okresie nieco poniżej 10%. Apropos jest obiektem pomocniczym przeglądarki Internet Explorer
i instaluje w niej pasek narzędziowy, który łączy się z witrynami WWW. Przesyła informacje do swojego
serwera. Instalowanie obiektu odbywa się przy użyciu formantu ActiveX. Ponadto Apropos może pobierać
i instalować w komputerze użytkownika inne pliki. Mogą one zawierać możliwości funkcjonalne, na które
użytkownik zgodził się akceptując oryginalną umowę licencyjną, ale również takie, na które nie wyraził
zgody.
Instalowanie programów szpiegujących i typu adware
Istnieje wiele różnych metod instalowania programów szpiegujących i typu adware w systemach
użytkowników. W poniższych paragrafach zostaną omówione niektóre z nich. Zostaną też podane zalecenia
dotyczące ochrony przed nieupoważnionym instalowaniem. Należy zwrócić uwagę na to, że niektóre
dodatkowe zagrożenia dla bezpieczeństwa używają więcej niż jednej metody instalowania.
Umowa licencyjna z użytkownikiem (EULA)
Niektóre firmy uzasadniają użycie oprogramowania typu adware tym, że umożliwia ono świadczenie usług
przy mniejszych kosztach ponoszonych przez klientów. Argument ten jest szczególnie uzasadniony
w przypadku oprogramowania udostępnianego użytkownikom do pobrania bezpłatnie (potocznie
określanego jako freeware). Programy takie zwykle wymagają od użytkownika zaakceptowania umowy
licencyjnej.
Umowy licencyjne z użytkownikiem bywają bardzo skomplikowane i niejasne. Chociaż w przypadku
niektórych programów typu adware umowy takie są łatwe do zrozumienia, konkretnie i jasno określają, jakie
czynności program będzie wykonywać; niestety nie zawsze. Jeśli informacje podane w umowie licencyjnej
są poprawne i akceptowalne dla użytkownika, ryzyko związane z zainstalowaniem oprogramowania typu
adware jest minimalne. Jednak w wielu przypadkach oprogramowanie takie jest dołączane do innych
programów potrzebnych użytkownikowi i jest instalowane bez jego wiedzy. Często zdarza się, że użytkownik
nieświadomie godzi się na zainstalowanie programu typu adware akceptując umowę licencyjną. Dzieje się
tak dlatego, że jest ona zbyt zawiła i użytkownik nie jest w stanie zrozumieć wszystkich warunków umowy
przed jej zaakceptowaniem lub nie chce jej przeczytać. Ponadto oprogramowanie typu adware może być
zainstalowane przez podmiot zewnętrzny już po zaakceptowaniu umowy licencyjnej i zainstalowaniu
oryginalnego oprogramowania.
Komercyjne programy szpiegujące zwykle mają umowy licencyjne z użytkownikiem. Jednak, ponieważ
oprogramowanie szpiegujące jest projektowane z myślą o instalacji i wykorzystywaniu go bez wiedzy
użytkownika docelowego systemu, często może zwierać opcję umożliwiająca zdalne instalowanie bez
umowy licencyjnej. Potrafi śledzić i rejestrować sekwencje naciskanych klawiszy, konwersacje prowadzone
za pośrednictwem usługi natychmiastowego przesyłania wiadomości, pocztę elektroniczną oraz inne formy
komunikacji, które mogą zawierać dane osobowe. W związku z tym oprogramowanie typu adware ułatwia
nie tylko monitorowanie przez uprawnione do tego podmioty, ale i oszustwa lub kradzież danych
osobowych. Dlatego rozwiązania do ochrony obsługujące programy szpiegujące powinny wykrywać takie
oprogramowanie bez względu na to, czy towarzyszy mu umowa licencyjna z użytkownikiem.
69
W drugim półroczu 2004 r. umowy licencyjne towarzyszyły tylko trzem spośród dziesięciu programów typu
adware najczęściej zgłaszanych do firmy Symantec. Były to Gator, NetOptimzer i Binet. W kategorii
programów szpiegujących tylko jeden zgłoszony program – Webhancer – był dostarczany z umową
licencyjną.
Dołączanie do innego oprogramowania
Jak wspomniano w poprzednim podrozdziale, niektóre firmy zwiększają dystrybucję swojego
oprogramowania przez oferowanie go użytkownikom do pobrania bezpłatnie. Jednak, aby osiągnąć zysk,
producenci często dołączają do niego oprogramowanie typu adware. Dotyczy to szczególnie programów do
współużytkowania plików w sieciach równorzędnych. Czasem użytkownik jest powiadamiany o dołączonym
oprogramowaniu typu adware w umowie licencyjnej, ale nie zawsze. Gdy aplikacja zostaje uruchomiona
w systemie użytkownika, instalowane jest również oprogramowanie typu adware, przy czym niekoniecznie
odbywa się to za wiedzą i zgodą użytkownika.
Programy szpiegujące są również niekiedy dołączane do innego oprogramowania. Często producenci czy
dystrybutorzy oprogramowania nie dołączają celowo programów szpiegujących, lecz są one umieszczane
w archiwum przez kogoś, kto chce tą drogą uzyskać poufne dane. Następnie taki pakiet oprogramowania
jest umieszczany w publicznej witrynie umożliwiającej pobieranie bądź wysyłany do grupy dyskusyjnej
w celu jak najszerszej dystrybucji81. Gdy użytkownik uruchomi potrzebny mu program aplikacyjny,
programy szpiegujące instalują się automatycznie.
Spośród dziesięciu programów typu adware najczęściej zgłaszanych do firmy Symantec w drugim półroczu
2004 r., dziewięć (w tym Iefeats) było dołączanych do innego oprogramowania. Natomiast spośród
dziesięciu programów szpiegujących zajmujących czołowe miejsca w rankingu, pięć (w tym Webhancer)
było dołączanych do innego oprogramowania.
Przeglądarki internetowe
Oprogramowanie typu adware często jest instalowane za pośrednictwem przeglądarki WWW. Odbywa się to
przy użyciu wyskakujących okienek reklamowych, które oferują bezpłatne oprogramowanie do pobrania.
Okienko zawiera przyciski „Tak” i „Nie”, których kliknięcie rzekomo powoduje odpowiednio przyjęcie lub
odrzucenie oferty. W rzeczywistości jednak kliknięcie w dowolnym miejscu okienka powoduje pobranie
oprogramowania typu adware. Takie oprogramowanie jest instalowane przy użyciu techniki formantów
ActiveX lub obiektów pomocniczych przeglądarki (BHO). Dokładniejszy opis obiektów pomocniczych
przeglądarki jest podany w podrozdziale „Możliwości funkcjonalne oprogramowania szpiegującego i typu
adware”.
Spośród dziesięciu najczęściej zgłaszanych w drugim półroczu 2004 r. przez klientów firmy Symantec
programów typu adware , pięć było instalowanych za pośrednictwem przeglądarki WWW, w tym Istbar –
najpowszechniej występujący program typu adware z taką funkcją. Programy szpiegujące również mogą
być instalowane za pośrednictwem przeglądarki przy użyciu techniki formantów ActiveX lub obiektów BHO,
jednak w badanym okresie żaden spośród dziesięciu najczęściej zgłaszanych programów szpiegujących nie
był instalowany w taki sposób.
Aby zmniejszyć ryzyko zainstalowania oprogramowania typu adware lub programów szpiegujących za
pośrednictwem przeglądarki WWW, użytkownik powinien wyłączyć obsługę ActiveX. Trzeba jednak
81
70
Programy szpiegujące są często pobierane wraz z narzędziami dla hakerów lub programami pornograficznymi.
zaznaczyć, że wyłączenie jej może zmniejszyć funkcjonalność przeglądarki i uniemożliwić prawidłową
wizualizację niektórych witryn i stron WWW. Niektórzy użytkownicy potrzebują ActiveX, dlatego powinni
skonfigurować przeglądarkę w taki sposób, by monitowała o wykonywanie formantów ActiveX. Jeśli
przeglądarka wyświetli nieoczekiwane okienko dialogowe, użytkownik nie powinien klikać w dowolnym
miejscu tego okienka. Zamiast tego należy natychmiast zamknąć okno przeglądarki. Ponadto użytkownik
może wybrać opcję blokowania znaczników kontekstu klienta (cookies) umieszczanych przez podmioty
zewnętrzne.
Możliwości funkcjonalne oprogramowania szpiegującego i typu adware
Oprogramowanie typu adware i programy szpiegujące to szerokie kategorie, które obejmują wiele
programów realizujących podobne cele za pomocą różnych metod. W niniejszym podrozdziale omówione
zostaną niektóre funkcje używane przez oprogramowanie szpiegujące i typu adware do identyfikowania
potencjalnych obiektów ataku i realizacji celów.
Podmiana funkcji przeglądarki
Jeśli użytkownik przegląda Internet, program typu adware może zainicjować przekierowanie funkcji
wyszukiwania. Na przykład może przekierować wyszukiwanie, podmieniając domyślny mechanizm
wyszukiwarki lub obsługę komunikatu „404 Nie odnaleziono strony”, generowanego w przypadku
wewnętrznych zapytań do wyszukiwarki. Taka podmiana (hijacking) funkcji przeglądarki nie tylko jest
myląca dla użytkownika, lecz stanowi zagrożenie dla bezpieczeństwa, ponieważ w wyniku przekierowania
użytkownik może pobrać z nowej strony destrukcyjny kod. Co więcej, użytkownik może zostać
przekierowany na sfałszowaną stronę i zostać tam nakłoniony do ujawnienia informacji osobistych, takich
jak hasła, dane uwierzytelniające, informacje finansowe i inne poufne dane. Informacje takie mogą być
następnie użyte do kradzieży tożsamości bądź oszustwa.
W drugim półroczu 2004 r. spośród dziesięciu najczęściej zgłaszanych przez klientów firmy Symantec
programów typu adware, pięć podmieniało funkcje przeglądarki. Wśród nich najwyższą pozycję w rankingu
zajmuje Istbar. Oprogramowanie szpiegujące również może podmieniać funkcje przeglądarki. Najczęściej
występującym w drugim półroczu 2004 r. tego przykładem był Shopnay.
Użytkownicy powinni zainstalować oprogramowanie ochronne, które przechwytuje próby podmiany funkcji
przeglądarki. Ponadto niezbędne jest wdrażanie aktualnych programów korygujących do systemu
operacyjnego, gdyż oprogramowanie szpiegujące może być instalowane w komputerze użytkownika
z wykorzystaniem luk w zabezpieczeniach.
Obiekty pomocnicze przeglądarki
Obiekt pomocniczy przeglądarki (BHO – browser help object) to dodatkowy program, który ma na celu
uprawnione uzupełnienie możliwości funkcjonalnych przeglądarki użytkownika82. Obiektami BHO są np.
programy do odczytywania dokumentów z poziomu przeglądarki. Jednak niektóre programy typu adware
instalują obiekty BHO w systemie użytkownika w mniej uczciwych celach. Obiekty BHO mogą monitorować
witryny WWW odwiedzane przez użytkownika, wykrywać zdarzenia, wymieniać reklamy, zmieniać
ustawienia strony głównej oraz tworzyć okna wyświetlające różne informacje. W okresie od
1 lipca do 31 grudnia 2004 r. trzy spośród dziesięciu najczęściej zgłaszanych programów typu adware
używały obiektów BHO, w tym Iefeats.
82
Na przykład Microsoft Internet Explorer wersja 4.0 lub nowsza.
71
Obiekty BHO umożliwiają wyposażenie oprogramowania szpiegującego w szereg możliwości
funkcjonalnych, takich jak pobieranie uaktualnień do programów oraz rejestrowanie i eksportowanie
poufnych danych. W ostatnim badanym okresie obiekty BHO były używane przez trzy spośród najczęściej
zgłaszanych programów szpiegujących, w tym przez Apropos.
Komercyjne narzędzia monitorujące
Jak stwierdziliśmy, oprogramowanie szpiegujące zbiera informacje m.in. przez rejestrowanie sekwencji
naciskanych klawiszy, co pozwala na uzyskanie takich informacji osobistych, jak nazwy użytkowników,
hasła, transakcje dokonywane za pomocą natychmiastowego przesyłania wiadomości oraz poczty
elektronicznej. Wiele programów szpiegujących to komercyjnie produkowane i dystrybuowane
oprogramowanie monitorujące, które służy np. do monitorowania korzystania z Internetu przez pracowników
i użytkowników w instytucjach publicznych. Jednak zgłaszanych jest także wiele programów szpiegujących,
które nie są produktami komercyjnymi.
Wśród dziesięciu programów szpiegujących zajmujących najwyższe pozycje w rankingu w okresie od
1 lipca do 31 grudnia 2004 r. był tylko jeden program komercyjny – Perfect. Jak wspomniano wyżej,
legalne narzędzia są często używane do nielegalnych celów, takich jak rejestrowanie sekwencji naciskanych
klawiszy czy nieuprawnione przeglądanie poczty elektronicznej. Możliwość przeprowadzania takich
destrukcyjnych działań powoduje, że programy komercyjne mogą znaleźć się wśród programów
szpiegujących zgłaszanych przez klientów firmy Symantec.
Jak wspomniano wyżej, oprogramowanie typu adware jest używane do zbierania informacji o zachowaniach
i preferencjach użytkowników podczas przeglądania Internetu. Ma to na celu lepsze ukierunkowanie
reklamy, dlatego oprogramowanie typu adware to w większości produkty komercyjne. Nic więc dziwnego,
że wszystkie dziesięć najczęściej zgłaszanych programów typu adware w ostatnim półroczu 2004 r. było
produktami komercyjnymi.
Zapobieganie instalacji i minimalizowanie skutków działania oprogramowania szpiegującego
i typu adware
Firma Symantec zaleca, by użytkownicy stale aktualizowali oprogramowanie antywirusowe. Administratorzy
odpowiedzialni za ochronę powinni podejmować dodatkowe środki zapewniające utrzymanie aktualności
programów korygujących w systemach–klientach. Zaleca się również wdrażanie dogłębnej obrony, w tym
stosowanie odpowiednio skonfigurowanej zapory ogniowej oraz zintegrowanych systemów antywirusowych
i wykrywania włamań. Ponadto firma Symantec radzi zachować ostrożność przy instalowaniu jakiegokolwiek
oprogramowania za pośrednictwem przeglądarki WWW. Nie należy pobierać oprogramowania ze źródeł,
które nie są znane i godne zaufania.
Oprócz wdrażania dogłębnej obrony, firma Symantec zaleca wdrożenie i egzekwowanie zasad
dopuszczalnego użycia. Administratorzy systemów powinni regularnie kontrolować wszystkie systemy pod
kątem oprogramowania zainstalowanego lub działającego w nich bez upoważnienia. Ponadto
administratorzy i użytkownicy powinni przeczytać każdą umowę licencyjną dołączaną do oprogramowania
przed zaakceptowaniem jej warunków.
72
Ponieważ niektóre programy szpiegujące są instalowane przy użyciu formantów ActiveX, firma Symantec
zaleca też, by użytkownicy rozważyli możliwość całkowitego wyłączenia obsługi technologii ActiveX. Trzeba
przy tym wziąć pod uwagę, iż – jak wspomniano wyżej – niektórzy użytkownicy mogą potrzebować tej
technologii do niektórych zastosowań. W takim przypadku należy tak skonfigurować przeglądarkę, aby
monitowała o wykonywanie formantów ActiveX. Oprócz tego użytkownicy powinni rozważyć wyłączenie
przyjmowania z zewnątrz znaczników kontekstu klienta (cookies).
Na koniec firma Symantec zaleca zachowanie najdalej posuniętej ostrożności przy usuwaniu
oprogramowania szpiegującego. Programy takie powinny być usuwane tak, aby by w miarę możliwości
zminimalizować wszelkie ewentualne niepożądane skutki uboczne ich usunięcia. Aby uniknąć problemów,
należy np. zignorować niektóre mało istotne pozostałości po oprogramowaniu szpiegującym, takie jak
nieszkodliwe klucze rejestru.
Phishing
W niniejszym podrozdziale Raportu firmy Symantec na temat bezpieczeństwa w Internecie zostaną
omówione ataki typu phishing, które miały miejsce w okresie od 1 lipca do 31 grudnia 2004 r. Phishing to
próba uzyskania przez nieupoważnioną osobę poufnych informacji od użytkownika, grupy użytkowników,
przedsiębiorstwa lub instytucji, często w celu osiągnięcia korzyści finansowych. Hakerzy dopuszczający się
phishingu próbują zmylić użytkowników i w ten sposób nakłonić ich do ujawnienia danych osobistych,
takich jak numery kart kredytowych, informacje potrzebne do wykonywania operacji bankowych online bądź
inne poufne informacje. Takie informacje mogą następnie posłużyć do popełniania oszustw. W poprzedniej
edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie wskazaliśmy, że phishing jest jednym
z najpoważniejszych zagrożeń, jakich można się spodziewać w nadchodzących miesiącach83.
Phishing ewoluował od prostych prób uzyskania drobnych informacji, takich jak hasła do gier, do
zmasowanych kradzieży tożsamości. Phishing może być prowadzony przy użyciu poczty elektronicznej,
programów szpiegujących bądź zagrożeń hybrydowych84. Przykładem może być atak typu phishing
przeprowadzany za pośrednictwem poczty elektronicznej, polegający na wysyłaniu wiadomości udających,
że pochodzą z legalnego źródła (np. z banku), bądź za pośrednictwem fałszywej witryny WWW, która
imituje legalną witrynę. Gdy użytkownik wyświetli taką wiadomość lub odwiedzi witrynę, do jego komputera
przedostaje się plik wykonywalny (.exe), który pozostaje uśpiony do chwili, gdy użytkownik przy użyciu
przeglądarki podejmie próbę dostępu do określonych serwisów finansowych. Wówczas program zaczyna
rejestrować i przekazywać do atakującego serwera dane, takie jak identyfikatory użytkownika i hasła.
Ataki typu phishing mogą za pomocą sfałszowanej wiadomości e-mail nakłaniać użytkownika do
wprowadzenia poufnych informacji do fałszywych formularzy lub witryn WWW. Najczęściej taka fałszywa
wiadomość zawiera formularz, który użytkownik ma wypełnić i odesłać. Adres e-mail zwykle wygląda na
legalny, ale w rzeczywistości kieruje ofiarę oszustwa do fałszywej witryny WWW. Często są przy tym
wykorzystywane luki w zabezpieczeniach przeglądarki, które umożliwiają wyświetlanie legalnego adresu
internetowego w oknie przeglądarki, podczas gdy w rzeczywistości łączy się ona z innym adresem, bądź też
umożliwiają wyświetlenie w prawym dolnym rogu okna przeglądarki ikony kłódki (sygnalizującej
zabezpieczoną sesję). Takie fałszywe witryny WWW zwykle wyglądają identycznie jak prawdziwe, wskutek
czego użytkownik jest przekonany, że przekazuje poufne dane do witryny legalnej.
83
84
Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 44: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539
Zagrożenie hybrydowe (blended threat) to destrukcyjny kod, który korzysta z kilku różnych metod i technik rozpowszechniania. Zagrożenia hybrydowe zazwyczaj łączą w sobie
cechy charakterystyczne dla różnych typów programów destrukcyjnych (takich jak wirusy, robaki i konie trojańskie), a ponadto mogą wykorzystywać luki w zabezpieczeniach.
73
Inne taktyki używane przez hakerów zajmujących się phishingiem obejmują: prośby o przekazanie
informacji za pośrednictwem faksu lub telefonu, skrypty Javy powodujące wyświetlenie wyskakującego
okienka na tle legalnej witryny WWW , co dezorientuje użytkownika i nakłania go do przekazania poufnych
informacji, oraz umieszczanie na legalnej witrynie WWW destrukcyjnego kodu, który ładuje oprogramowanie
szpiegujące do systemu użytkownika. Luki w zabezpieczeniach serwisów WWW umożliwiają hakerom
obsługiwanie fałszywych stron WWW z legalnego serwera czy witryny i wykorzystanie tego do phishingu.
Niniejszy podrozdział dotyczy ataków phishingu i wiadomości e–mail typu phishing. Wiadomość e-mail typu
phishing to każda wiadomość wysyłana do jednego konkretnego użytkownika, mająca na celu uzyskanie
poufnych lub osobistych informacji od użytkownika Internetu. Natomiast atak typu phishing to zbiór
wiadomości e-mail, które mają podobne podstawowe właściwości i zostały razem wysłane z tego samego
serwera.
Dane prezentowane w niniejszym podrozdziale opierają się na statystykach zebranych przez sieć Symantec
Probe Network. Jest to system obejmujący ponad dwa miliony kont–przynęt, które przyciągają wiadomości
e-mail z 20 krajów świata. Sieć Symantec Probe Network odbiera reprezentatywną próbę spamu
wysyłanego do ponad 250 mln kont pocztowych. Do sieci tej należy ponad 600 przedsiębiorstw
i operatorów Internetu w obu Amerykach, Europie, Azji i Australii. Konta-przynęty obejmują zarówno
wcześniej aktywne adresy e-mail, jak i adresy utworzone wyłącznie, aby przyciągać spam do sieci
Symantec Probe Network.
W niniejszym podrozdziale zostaną omówione następujące tematy:
• narastanie phishingu w ciągu ostatnich sześciu miesięcy,
• zablokowane próby phishingu,
• liczba wiadomości e–mail typu phishing,
• zapobieganie phishingowi i minimalizacja zagrożeń z nim związanych.
Narastanie phishingu w ciągu ostatnich sześciu miesięcy
Ponieważ niniejszy Raport firmy Symantec na temat bezpieczeństwa w Internecie jest pierwszym, który
analizuje zjawisko phishingu, nie można podać porównania z pierwszym półroczem 2004 r. Tym niemniej
firma Symantec przeanalizowała prawidłowości związane z phishingiem w okresie od początku lipca do
końca grudnia 2004 r.
W okresie od 1 lipca do 31 grudnia 2004 r. wykryto 10 310 nowych ataków typu phishing. Chociaż
aktywność phishingu zmieniała się dość nieregularnie z tygodnia na tydzień, liczba nowych ataków typu
phishing stale narastała przez cały sześciomiesięczny badany okres (zob. rys. 30 – na wykresie dodano
średnią kroczącą85, aby tempo wzrostu liczby ataków typu phishing w badanym okresie było bardziej
widoczne). W pierwszym tygodniu lipca sieć Symantec Probe Network wykryła 193 nowe ataki typu
phishing. Liczba ta rosła dość szybko i osiągnęła maksimum wynoszące 584 nowe ataki w tygodniu między
7 a 13 października. Następnie tempo wzrostu nieco zmalało, by w ostatnim tygodniu grudnia ponownie
osiągnąć wysoką wartość 558 nowowykrytych ataków typu phishing.
W środowisku specjalistów ds. bezpieczeństwa przeprowadzono wiele dyskusji na temat, czy phishing jest
tylko chwilową modą, czy też będzie się rozwijać. Biorąc pod uwagę dane zebrane przez sieć Symantec
85
74
Średnia krocząca to technika stosowana do analizy trendów w przypadku bardzo zmiennych i dynamicznych danych. Jeśli dane wykazują duże fluktuacje, to ich
analiza wizualna i wyznaczenie trendu mogą być trudne. Średnią wylicza się więc na podstawie danych z każdego kolejnego dnia lub tygodnia. Kiedy dochodzą nowe
dane, usuwa się dane najstarsze i ponownie wylicza średnią. Tak więc średnia zmienia się w czasie. Długość okresu, za który obliczana jest średnia krocząca,
bezpośrednio decyduje o wielkości fluktuacji linii trendu (im krótszy okres, tym większe fluktuacje).
Probe Network, można odnieść wrażenie, iż zjawisko phishingu nie zanika, lecz cały czas narasta. Firma
Symantec uważa, że nie przestanie, dopóki hakerzy będą poszukiwać nowych celów swoich ataków.
Zablokowane próby phishingu
Najbardziej efektywną miarą tempa narastania phishingu jest łączna liczba prób phishingu (wiadomości
e-mail typu phishing wysłanych do użytkowników) zablokowanych w terenie przez filtry przeciwdziałające
oszustwom systemu Symantec Brightmail AntiSpam™. (Filtry przeciwdziałające oszustwom są to reguły
utworzone przez centrum BLOC w celu wykrywania i blokowania wiadomości e-mail typu phishing).
W połowie lipca 2004 r. blokowały one ok. 9 mln prób phishingu tygodniowo, natomiast pod koniec grudnia
2004 r. średnia tygodniowa wzrosła do ponad 33 mln blokowanych wiadomości (zob. rys. 31
– na wykresie dodano średnią kroczącą, aby tendencje były bardziej widoczne).
Maksymalna liczba zablokowanych prób phishingu tygodniowo (zob. rys. 31) jest ściśle skorelowana
z maksymalną liczbą nowych ataków typu phishing (zob. rys. 30). Dzieje się tak dlatego, że po wykryciu
nowego ataku typu phishing, firma Symantec opracowuje nowe filtry przeciw oszustwom, które uwzględniają
takie nowe ataki. To z kolei zwiększa liczbę zablokowanych prób phishingu.
700
Średnia krocząca za dwa okresy (suma tygodniowa)
Suma tygodniowa
500
400
300
200
100
23 XII 2004 r.
9 XII 2004 r.
25 XI 2004 r.
11 XI 2004 r.
28 X 2004 r.
14 X 2004 r.
30 IX 2004 r.
16 IX 2004 r.
2 IX 2004 r.
19 VIII 2004 r.
5 VIII 2004 r.
22 VII 2004 r.
8 VII 2004 r.
0
1 VII 2004 r.
Liczba ataków typu phishing
600
Data
Rys. 30. Wzrost liczby ataków typu phishing w poszczególnych tygodniach
75
45 mln
Średnia krocząca
40 mln
35 mln
30 mln
25 mln
20 mln
15 mln
10 mln
23 XII 2004 r.
9 XII 2004 r.
25 XI 2004 r.
11 XI 2004 r.
28 X 2004 r.
14 X 2004 r.
30 IX 2004 r.
16 IX 2004 r.
2 IX 2004 r.
19 VIII 2004 r.
5 VIII 2004 r.
22 VII 2004 r.
8 VII 2004 r.
0 mln
1 VII 2004 r.
5 mln
Data
Rys. 31. Liczba zablokowanych prób phishingu
Liczba wiadomości e-mail typu phishing
Niniejszy podrozdział omawia udział wiadomości e-mail typu phishing w całkowitej liczbie wiadomości
przetworzonych przez rozwiązanie Symantec Brightmail AntiSpam. Wskaźnik ten jest wyznaczany na
podstawie liczby wiadomości, które wyzwalają akcję blokującą zainstalowanych w terenie filtrów
przeciwdziałających oszustwom. Filtry te są rozproszone wśród klientów firmy Symantec.
W okresie od 1 lipca do 31 grudnia 2004 r. zwiększył się udział procentowy wiadomości typu phishing
wśród wszystkich wiadomości e-mail. Wskaźnik ten wzrósł z 0,1% wszystkich przetworzonych wiadomości
(co stanowi średnio 1 mln oszukańczych wiadomości dziennie) do 0,6% wszystkich przetworzonych
wiadomości (co stanowi średnio 4,5 mln oszukańczych wiadomości dziennie – zob. rys. 32). W dniach
szczytu obserwowano wiele ponad 9 mln wiadomości typu phishing.
W badanym okresie średni procentowy udział wiadomości typu phishing w przetworzonej poczcie
elektronicznej wyniósł 0,4%. Na pozór wskaźnik ten może się wydawać mały, ale wielkość ta oznacza, że
jedna na 250 odebranych wiadomości była atakiem typu phishing. W momentach szczytowych wartość ta
wzrastała aż do jednej na 100 wiadomości. Jest to dość duży wzrost, zwłaszcza jeśli weźmiemy pod uwagę,
że jeszcze dwa lata temu phishing nie był uznawany za poważne zagrożenie dla bezpieczeństwa.
Zaprezentowane dane potwierdzają opinię, że zjawisko phishingu narasta i będzie w dalszym ciągu
narastać w przyszłości. Uzasadnione jest przypuszczenie, że hakerzy wciąż poszukują nowych celów
phishingu. Dodawanie nowych ofiar phishingu (tj. przedsiębiorstw, w które wymierzone są oszustwa) jest
76
czynnikiem tłumaczącym liczne wartości maksymalne na wykresie, gdyż – jak się wydaje – występuje
pewne opóźnienie pomiędzy momentem przeprowadzenia skutecznego ataku typu phishing a momentem,
gdy ofiara wdroży właściwe monitorowanie pod kątem takich ataków.
1.5%
Udział procentowy
1.2%
0.9%
0.6%
0.3%
31 XII 2004 r.
15 XII 2004 r.
1 XII 2004 r.
15 XI 2004 r.
1 XI 2004 r.
15 X 2004 r.
1 X 2004 r.
15 IX 2004 r.
1 IX 2004 r.
15 VIII 2004 r.
1 VIII 2004 r.
0.0%
Data
Rys. 32. Procentowy udział phishingu w skanowanych wiadomościach
Zapobieganie phishingowi i minimalizacja zagrożeń z nim związanych
Firma Symantec zaleca, by użytkownicy instytucjonalni wdrożyli ochronę przed zagrożeniami o charakterze
phishingu. Ochrona ta powinna polegać głównie na wykrywaniu i filtrowaniu poczty elektronicznej na
poziomie serwera przy użyciu agenta przesyłania wiadomości (Mail Transfer Agent). Chociaż filtrowanie na
tym poziomie prawdopodobnie pozostanie jednym z najważniejszych punktów filtrowania pod kątem
phishingu, inne próby mogą być filtrowane za pomocą filtrów IP w punkcie styku z siecią nadrzędną oraz
filtrów HTTP. Bardziej ogólną ochronę zapewniają listy blokowania DNS (DNS Block List), które mogą
zmniejszyć niektóre zagrożenia związane z wiadomościami e-mail typu phishing. Listy blokowania DNS
zapewniają ogólną ochronę adresów IP, na które przychodzi niepożądana poczta elektroniczna, ale często
mogą powodować fałszywe alarmy. Rozwiązania takie jak SPF (Sender Policy Framework), klucze domen
i inne podobne rozwiązania nie zapewniają skutecznej ochrony, gdyż hakerzy bez trudu wykupują domeny
o nazwach podobnych do nazwy firmy będącej obiektem ataku, po czym konfigurują je zgodnie z SPF
i innymi standardami, tak aby zapewnić traktowanie swoich wiadomości jak poczty legalnej z punktu
widzenia SPF.
77
Należy także przestrzegać najlepszych procedur korporacyjnych, takich jak monitorowanie dzienników
operacji internetowych, aby upewnić się, że nie są pobierane pełne witryny WWW. Przedsiębiorstwa
i instytucje mogą też monitorować domeny pokrewne86 kupowane przez inne podmioty. Śledzenie rejestracji
nowych domen pokrewnych umożliwia przedsiębiorstwom rozpoznanie tych, które mogą być użyte do
podszycia się pod domenę przedsiębiorstwa. Firma Symantec zaleca, aby oprócz stosowania najlepszych
procedur postępowania, przedsiębiorstwa i instytucje zadbały o ogólną edukację użytkowników w zakresie
phishingu, a w szczególności aby informowały ich o nowych oszustwach tego rodzaju87.
Także użytkownicy powinni przestrzegać najlepszych procedur. Ponieważ niektóre ataki typu phishing
mogą wykorzystywać oprogramowanie szpiegujące lub rejestrujące sekwencje naciśnięć klawiszy, firma
Symantec zaleca również, by użytkownicy wdrożyli w swoich komputerach metody wykrywania
oprogramowania. Ponadto firma Symantec doradza, by użytkownicy nigdy nie ujawniali jakichkolwiek
informacji osobistych czy finansowych w przypadku najmniejszych wątpliwości co do tego, czy otrzymana
wiadomość e-mail lub odwiedzana witryna WWW żądające takich informacji są autentyczne. Użytkownicy
nie powinni ujawniać informacji poufnych, jeśli nie można upewnić się, że żądanie jest uprawnione.
Spam
W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie przewidywaliśmy, że
w dalszym ciągu będzie rosnąć ilość spamu i zagrożenia z tym związane88. Spam jest zwykle definiowany
jako niepożądana poczta otrzymywana od podmiotów, których o to nie proszono. W badanym okresie spam
stanowił ponad 60% ruchu w systemach poczty elektronicznej. Poza niewątpliwym zirytowaniem, jakie
wywołuje w użytkownikach i administratorach, stanowi także poważne zagrożenie dla bezpieczeństwa, gdyż
może być użyty do przesyłania koni trojańskich i wirusów, a także do podejmowania prób phishingu. Co
więcej, duża ilość spamu może spowodować sytuację odmowy usługi (DoS), gdy systemy poczty
elektronicznej są przeciążone w stopniu uniemożliwiającym przesyłanie legalnej poczty i innego ruchu
sieciowego. W podrozdziale niniejszego Raportu firmy Symantec na temat bezpieczeństwa w Internecie
dotyczącym spamu omówione zostaną zmiany które zaszły w okresie od 1 lipca do 31 grudnia 2004 r.
Dane użyte do analizy opierają się na statystykach zebranych w sieci Symantec Probe Network – systemie
obejmującym miliony adresów–przynęt, które zostały tak skonfigurowane, by przyciągnąć jak najwięcej
ataków typu spam, będących reprezentatywną próbą spamu odbieranego przez domenę danego partnera
uczestniczącego w badaniu. Atak może polegać na przesłaniu jednej wiadomości, kilku wiadomości bądź
grupy podobnych wiadomości. Wszystkie ataki są odbierane i analizowane przez centrum BLOC , które
opracowuje filtry antyspamowe.
Sieć Symantec Probe Network symuluje istnienie wielu różnych użytkowników poczty elektronicznej, dzięki
czemu przyciąga reprezentatywną próbę spamu krążącego w Internecie. Sieć jest stale optymalizowana,
aby przyciągać nowe rodzaje spamu. W tym celu wprowadzane są wewnętrzne zmiany w jej działaniu, co
z kolei wpływa na całkowitą liczbę nowych ataków typu spam odbieranych przez nią. Wszystkie godziny są
podawane według czasu GMT.
86
Domena pokrewna (cousin domain) to domena, której nazwa zawiera słowa kluczowe z nazwy domeny danego przedsiębiorstwa lub instytucji. Na przykład w przypadku
domeny korporacyjnej „wielkibank.com” mogą występować takie domeny pokrewne, jak „wielkibank–powiadomienia.com”, „wielki–bank–security.com” itd.
Dobrym źródłem informacji na temat najnowszych zagrożeń jest witryna http://www.antiphishing.org.
87
Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 45, http://enterprisesecurity.symantec.com/content.cfm?articleid=1539
87
78
W niniejszym podrozdziale Raportu firmy Symantec na temat bezpieczeństwa w Internecie zostaną
omówione następujące tematy:
• aktywność zjawiska spamu i prognozy jego wzrostu
• łączna liczba wiadomości związanych z nowymi atakami (w rozbiciu na dni tygodnia)
• łączna liczba wiadomości a liczba znanych ataków dziennie.
Aktywność zjawiska spamu i prognozy jego wzrostu
Dane użyte do analizy opierają się na statystykach zebranych od klientów w terenie. Na infrastrukturę
poczty elektronicznej wpływa wiele zmiennych, w związku z czym chociaż najlepsze procedury są często
wspólne dla wielu klientów, ich sposób wdrażania rozwiązań ochrony poczty elektronicznej nieraz jest
unikatowy. Zabezpieczenia poczty elektronicznej mogą być wdrażane na różnych poziomach – rutera, MX
(centrali poczty) lub serwera pocztowego. Punkt, w którym jest wdrożone rozwiązanie antyspamowe, ma
bezpośredni wpływ na statystyki zbierane w danym systemie.
W niniejszym podrozdziale omówiona zostanie aktywność zjawiska spamu i prognozy jego wzrostu
z uwzględnieniem tego, jak istotny jest problem spamu dla przedsiębiorstwa. Rysunek 33 przedstawia
wzrost ilości spamu w 20 przedsiębiorstwach w znacznym stopniu dotkniętych tym problemem w lipcu
2004 r. Przedsiębiorstwa te odbierały w tym miesiącu największą ilość poczty ogółem (tj. poczty
zawierającej spam i poczty niezakwalifikowanej jako spam). Dane dotyczą tej wybranej grupy
przedsiębiorstw w całym badanym okresie sześciomiesięcznym. Fluktuacje ilości poczty elektronicznej
niezakwalifikowanej przez filtry jako spam (a więc legalnej poczty i małej ilości niewykrytego spamu) były
niewielkie. W związku z tym liczba legalnych wiadomości e-mail była mniej więcej stała przez cały badany
okres.
Wybór wyżej wspomnianych 20 firm był podyktowany faktem, że w przedsiębiorstwach o największej ilości
poczty ogółem występują najmniejsze fluktuacje dziennej ilości poczty. Ponadto przedsiębiorstwa takie
stosują surowsze reguły kontroli zmian w swojej infrastrukturze poczty elektronicznej, w związku z czym
występuje mniej zmiennych wpływających na ilość poczty przetwarzanej na poziomie agenta MTA.
W od 1 lipca do 31 grudnia 2004 r. wystąpił 77-procentowy wzrost ilości spamu przychodzącego do
wybranych przedsiębiorstw (zob. rys. 33). Przedsiębiorstwa dotknięte poważnymi problemami ze spamem
w dalszym ciągu obserwują szybki wzrost ilości niechcianej poczty. Łączna liczba wiadomości typu spam
wzrosła ze średnio 800 mln tygodniowo na początku do ponad 1,2 mld tygodniowo pod koniec badanego
okresu sześciomiesięcznego.
Łączna liczba wiadomości związanych z nowymi atakami (w rozbiciu na dni tygodnia)
W okresie od 1 lipca do 31 grudnia 2004 r. sieć Symantec Probe Network odbierała dziennie średnio
4 696 122 wiadomości związanych z nowymi atakami (przez nowe ataki rozumie się nowe grupy
sondowanych wiadomości e-mail, nieuwzględnione w bazie danych centrum BLOC). Najwięcej nowych
ataków przychodziło do sieci Symantec Probe Network w poniedziałki (zob. rys. 34). Można przypuszczać,
że w poniedziałki hakerzy wprowadzają nowe taktyki i w związku z tym podejmują więcej ataków. Łączna
liczba wiadomości odbieranych przez sieć Symantec Probe Network wyrównuje się
79
w pozostałe dni tygodnia, z lekkim wzrostem w piątek.
2.0 mld
Wszystkie wiadomości
Spam
Liczba wiadomości e-mail
1.5 mld
1.0 mld
Data
Rys. 33. Ilość spamu odbieranego tygodniowo przez wybrane przedsiębiorstwa
140 mln
128 mln
120 mln
124 mln
121 mln
122 mln
125 mln
114 mln
111 mln
New messages
100 mln
80 mln
60 mln
40 mln
20 mln
0 mln
niedziele
poniedziałki
wtorki
środy
czwartki
piątki
Dzień tygodnia
Rys. 34. Łączna liczba wiadomości związanych z nowymi atakami, w rozbiciu na dni tygodnia
80
soboty
23 XII 2004 r.
9 XII 2004 r.
25 XI 2004 r.
11 XI 2004 r.
28 X 2004 r.
14 X 2004 r.
30 IX 2004 r.
16 IX 2004 r.
2 IX 2004 r.
19 VIII 2004 r.
5 VIII 2004 r.
22 VII 2004 r.
8 VII 2004 r.
0.0 mld
1 VII 2004 r.
0.5 mld
Chociaż w poniedziałki przychodziło więcej spamu, ta zmiana ilości była niewielka w porównaniu z łączną
liczbą wiadomości. Liczba znanych ataków typu spam (tj. ataków już uwzględnianych przez filtry
antyspamowe) pozostawała stosunkowo stała przez cały tydzień, z lekkim spadkiem w środy. Najmniejszą
ilość spamu w ciągu tygodnia odbierano w soboty i niedziele.
Łączna liczba wiadomości a liczba znanych ataków dziennie
W okresie od 1 lipca do 31 grudnia 2004 r. sieć Symantec Probe Network odbierała dziennie średnio
11 069 154 wszystkich wiadomości, w tym być może nowe, nieznane wiadomości typu spam (zob. rys. 35).
(Nieznana wiadomość typu spam to inne określenie nowego ataku typu spam, czyli ataku
niezarejestrowanego dotąd w bazie danych centrum BLOC ). Liczba wiadomości zawierających znane ataki
typu spam wynosiła średnio 6 373 032 dziennie.
Na podstawie danych omawianych w niniejszym podrozdziale można zauważyć efekty wewnętrznych zmian
i optymalizacji sieci Symantec Probe Network. Ponieważ ataki typu spam bezustannie ewoluują, niezbędne
jest wprowadzanie zmian w działaniu tej sieci, pozwalających nadążać za taką ewolucją. Zmiany te polegają
na usuwaniu sond, które przyciągają mało spamu, oraz na opracowywaniu i aktywowaniu nowych sond.
Skutkiem tych działań jest zmniejszanie się lub zwiększanie łącznej liczby wiadomości e-mail odbieranych
przez sieć Symantec Probe Network. Liczba ta jest przedstawiona na rys. 35 kolorem ciemnoszarym. Liczba
znanych ataków typu spam jest przedstawiona kolorem jasnoszarym.
18M
Wszystkie wiadomości
Znane ataki typu spam
12M
9M
6M
3M
28 XII 2004 r.
18 XII 2004 r.
8 XII 2004 r.
28 XI 2004 r.
18 XI 2004 r.
8 XI 2004 r.
29 X 2004 r.
19 X 2004 r.
9 X 2004 r.
29 IX 2004 r.
19 IX 2004 r.
9 IX 2004 r.
30 VIII 2004 r.
20 VIII 2004 r.
10 VIII 2004 r.
31 VII 2004 r.
21 VII 2004 r.
11 VII 2004 r.
0
1 VII 2004 r.
Liczba wiadomości
15M
Data
Rys. 35. Łączna liczba wiadomości, w tym nowych ataków typu spam, w porównaniu z liczbą znanych ataków typu spam
81
Fluktuacje liczby znanych ataków typu spam były mniejsze niż fluktuacje liczby wszystkich odebranych
wiadomości. Są one związane są z jednej strony z odbieraniem większej liczby nowych ataków typu spam,
a z drugiej – z wdrażaniem filtrów antyspamowych blokujących je. Z tego względu przedstawiona analiza
może służyć do oceny zarówno efektywności odbierania poczty przez sieć Symantec Probe Network, jak
i efektywności tworzenia filtrów przeciw nowym atakom. Należy dodać, że zmiany liczby wiadomości
odbieranych przez sieć Symantec Probe Network niekoniecznie odzwierciedlają tendencje wzrostu ilości
spamu w całym Internecie, a jedynie tendencje dotyczące nowych ataków przyciąganych przez sieć
Symantec Probe Network w celu opracowania nowych filtrów.
Rosnąca liczba nowych ataków widoczna w ostatnich trzech miesiącach badanego okresu odzwierciedla
rozszerzenie sieci Symantec Probe Network na nowe kraje oraz zwiększanie pokrycia poszczególnych
krajów tą siecią. Na początku października 2004 r. uruchomiono nowe konta, zawierające wiele sond
przyciągających wiadomości międzynarodowe i w językach obcych. Aktywowanie tych sond
w październiku ponownie zwiększyło łączną liczbę wiadomości odbieranych przez sondy (do poziomu
z lipca), a aktywowanie kolejnych sond pod koniec listopada jeszcze bardziej podniosło tę liczbę.
Raptowny wzrost łącznej liczby wiadomości zwiększył również różnorodność spamu. Opracowywanie filtrów
przeciwko tym nowym atakom typu spam spowodowało stopniowe zwiększanie się liczby wiadomości
odfiltrowanych, czyli znanych ataków typu spam w drugiej połowie omawianego półrocznego okresu
(tj. między 1 października a 31 grudnia 2004 r.).
Średnia dzienna liczba wszystkich wiadomości i wiadomości związanych ze znanymi atakami wykazała
w badanym okresie sześciomiesięcznym (od 1 lipca do 31 grudnia 2004 r.) bardzo mały wzrost. W dniu
1 lipca 2004 r. odebrano łącznie 11 822 284 wiadomości, a w dniu 31 grudnia 2004 r. – 12 671 366.
Jednak między 1 lipca a 26 września, kiedy odebrano najmniej wiadomości (6 704 900), wystąpił
43-procentowy spadek łącznej liczby wiadomości odbieranych dziennie.
Jednym z czynników wpływających na zmniejszenie liczby wiadomości odbieranych przez sieć Symantec
Probe Network w badanym okresie było udoskonalenie lub wyłączenie sond przywabiających małą ilość
spamu (bądź zbyt dużą ilość legalnej poczty). Początkowo wyłączenie sond umożliwia centrum BLOC
skoncentrowanie się na opracowywaniu nowych filtrów na podstawie mniejszego zbioru odbieranych
wiadomości typu spam. Jednak wyłączone słabo działające sondy muszą być uzupełnione nowymi sondami
w celu przyciągania większych ilości ataków typu spam.
82
Spojrzenie w przyszłość
W poprzednich rozdziałach niniejszego Raportu przedstawiono rozwój zagrożeń internetowych
zaobserwowany między 1 lipca a 31 grudnia 2004 r. W tym rozdziale Raportu omówiono wyłaniające się
tendencje i problemy, które zdaniem firmy Symantec rozwiną się w nadchodzącym roku. Przedstawione
prognozy są oparte na danych, które firma Symantec zgromadziła w obecnie badanym okresie. Przewidując
kształtowanie się przyszłych tendencji, firma Symantec ma nadzieję umożliwić firmom i instytucjom lepsze
przygotowanie się do szybkich zmian zachodzących w środowisku zabezpieczeń, w jakim działają, oraz do
wzrostu jego złożoności.
Wirusy i robaki wykorzystujące luki w zabezpieczeniach po stronie klienta
W poprzednich dwóch badanych okresach firma Symantec ostrzegała użytkowników przed lukami
w zabezpieczeniach oprogramowania instalowanego po stronie klienta, zarówno na komputerach
użytkowników indywidualnych, jak i przedsiębiorstw. W rozdziale „Spojrzenie w przyszłość” poprzedniej
edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie wspomniano, a w rozdziałach
„Tendencje dotyczące luk w zabezpieczeniach” i „Tendencje dotyczące destrukcyjnego kodu” niniejszej
edycji Raportu wyjaśniono dokładniej, iż luki w zabezpieczeniach po stronie klienta stają się coraz
poważniejszym zagrożeniem dla bezpieczeństwa.
Poprzednio strategie bezpieczeństwa koncentrowały się na ochronie brzegów sieci: serwerach, zaporach
ogniowych i innych zasobach eksponowanych na zewnątrz sieci przedsiębiorstwa. Jednak ostatnio sytuacja
się zmieniła i coraz większego znaczenia nabiera bezpieczeństwo systemów po stronie klienta, a przede
wszystkim komputerów-hostów wykorzystywanych przez użytkowników. Dzieje się tak dlatego, że
administratorzy potrafią coraz skuteczniej zabezpieczać brzegi sieci, w związku z czym hakerzy poszukują
innych sposobów atakowania. W efekcie zarówno badacze luk w zabezpieczeniach, jak i hakerzy coraz
bardziej koncentrują się na oprogramowaniu instalowanym w poszczególnych systemach-klientach, a nie
tylko na samych systemach operacyjnych. Dobrym przykładem takiej luki w zabezpieczeniach po stronie
klienta jest Microsoft GDI+ Library JPEG Segment Length Integer Underflow Vulnerability 89.
Firma Symantec uważa, że obecny wzrost zainteresowania atakami na systemy klienckie nasili użycie
robaków w charakterze mechanizmu początkowego rozprzestrzeniania się ataków wymierzonych
w specyficzne luki w zabezpieczeniach po stronie klienta. Wirusy i robaki są bardzo skuteczną metodą
początkowego rozprzestrzeniania się ataków na systemy klienckie i firma Symantec uważa, że robaki
rozprzestrzeniające się w taki sposób będą występować coraz częściej90. To może oznaczać, że tradycyjne
mechanizmy i procedury zabezpieczeń staną się mniej efektywne z punktu widzenia ochrony sieci jako
całości. Zarówno administratorzy, jak i użytkownicy powinni nasilić czujność w celu należytego
zabezpieczenia tych nowych dróg infekcji.
Oprogramowanie typu bot i sieci komputerów nim zainfekowanych wykorzystywane do
uzyskiwania korzyści finansowych
Jak omówiono w rozdziale „Tendencje dotyczące ataków” niniejszego Raportu, chociaż firma Symantec
zaobserwowała spadek liczby sieci komputerów zainfekowanych oprogramowaniem typu bot w ostatnich
89
90
http://tms.symantec.com/ClientSideExploitation.asp
83
sześciu miesiącach, ich aktywność w dalszym ciągu stwarza problemy. Firma Symantec uważa, że
zagrożenie tą formą ataku będzie w dalszym ciągu rosnąć, zwłaszcza z punktu widzenia konsekwencji
finansowych. Wobec wzrostu liczby bardziej wyrafinowanych ataków typu phishing i ataków z użyciem
destrukcyjnego kodu, w niniejszej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie
stwierdzono, że oprogramowanie typu bot jest coraz częściej używane do osiągania nielegalnych korzyści
finansowych. Firma Symantec przewiduje, że ta tendencja będzie narastać w miarę rozpowszechniania się
nowych, zróżnicowanych metod infekowania nowych komputerów oprogramowaniem typu bot i tworzenia
ich sieci.
Bardzo łatwo jest opracować oprogramowanie typu bot o ściśle określonych, wąskich funkcjach. Ponieważ
pozwala ono na zdalne uaktualnianie i dodawanie nowych możliwości funkcjonalnych, sposób działania
sieci komputerów zainfekowanych nim można bardzo łatwo zmieniać. Dzięki temu autorzy takiego
oprogramowania mogą wykorzystywać swoje sieci do osiągnięcia korzyści materialnych. Na przykład, jak
wspomniano w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu, komputery
zainfekowane oprogramowaniem typu bot są często używane jako systemy tranzytowe w celu
rozpowszechniania wiadomości o charakterze spamu i phishingu. Firma Symantec przewiduje, że
w najbliższej przyszłości należy się spodziewać wzrostu liczby właścicieli takich sieci, którzy będą
modyfikować je i wynajmować m.in. do wyżej wspomnianych celów.
Komputery zainfekowane oprogramowaniem typu bot są często używane do przeprowadzania ataków typu
odmowa usługi (DoS) przeciwko różnym przedsiębiorstwom i instytucjom91. Ich sieci coraz częściej są
wykorzystywane do działań o charakterze wymuszenia92. Działania takie polegają na tym, że haker
kontaktuje się z właścicielem strony internetowej, zazwyczaj serwisem handlu elektronicznego lub kasynem
online, i domaga się okupu. W przypadku niespełnienia tych żądań, grozi przypuszczeniem ataku typu
odmowa usługi przeciwko witrynie i tym samym zablokowania przychodów. Raporty policyjne i wyrywkowe
doniesienia wskazują, że tego rodzaju wymuszenia w niektórych przypadkach kończyły się sukcesem
hakerów93. Z uwagi na coraz większy poziom zaawansowania najnowszego oprogramowania typu bot,
likwidacja sieci komputerów zainfekowanych nim staje się coraz trudniejsza. Zdaniem firmy Symantec są
podstawy przypuszczać, że w najbliższej przyszłości tego rodzaju działalność będzie się nasilać.
Coraz bardziej szkodliwy kod destrukcyjny do urządzeń mobilnych obserwowany w warunkach
rzeczywistych
Jak zauważono w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie,
pojawił się już przykład destrukcyjnego kodu do urządzeń mobilnych – robak Cabir 94. Telefony komórkowe
i komputery kieszonkowe (PDA) stają się coraz bardziej zaawansowane, a łączność komórkowa jest
stosowana coraz powszechniej. W tej sytuacji rosną również możliwości opracowywania kodu
destrukcyjnego na takie urządzenia. Firma Symantec przewiduje, że w ciągu najbliższych sześciu miesięcy
pojawi się więcej przykładów tego rodzaju destrukcyjnego kodu wykorzystywanego w warunkach
rzeczywistych.
Pod koniec grudnia 2004 r. doniesiono o pojawieniu się konia trojańskiego, który instaluje robaka Cabir
w telefonach komórkowych pracujących w systemie operacyjnym Symbian95. Ten koń trojański maskuje się
jako program instalacyjny do popularnej gry wideo, zachęcając użytkowników do pobrania go
i zainstalowania w telefonie. Chociaż skutki jego działania nie są katastrofalne, istnienie robaka Cabir jest
91
http://www.theregister.co.uk/2004/07/21/cyber_shakedown_taken_down/
http://www.businessweek.com/magazine/content/04_32/b3895106_mz063.htm
94
http://securityresponse.symantec.com/avcenter/venc/data/epoc.cabir.html
95
http://www.symantec.com/avcenter/venc/data/symbos.mgdropper.html
92
93
84
sygnałem, że przypuszczalnie wkrótce pojawią się inne podobnego rodzaju programy destrukcyjne, bardziej
szkodliwe w skutkach. Pojawienie się konia trojańskiego SymbOS.Skulls 96 w listopadzie 2004 r. nasiliło te
obawy. Program ten nie tylko wymieniał ikony w zainfekowanym urządzeniu, lecz także uniemożliwiał
funkcjonowanie większości aplikacji.
Potwierdzeniem hipotezy, że wkrótce pojawią się groźniejsze i bardziej szkodliwe ataki, jest fakt, że pod
koniec grudnia 2004 r. został publicznie ujawniony kod źródłowy robaka Cabir 97. Na podstawie przypadków
z różnymi przykładami oprogramowania typu bot, których kod źródłowy został publicznie ujawniony, firma
Symantec przypuszcza, że w najbliższej przyszłości pojawią się liczne nowe warianty tego robaka bądź inne
programy destrukcyjne oparte na tym samym kodzie źródłowym.
Jak dotąd zdolność robaka Cabir do rozprzestrzeniania się była ograniczona ze względu na ograniczenia
nakładane przez systemy operacyjne Symbian. Jednak dostępność kodu źródłowego umożliwi teraz innym
hakerom opracowywanie nowych wariantów zdolnych do ominięcia tych ograniczeń. Istnieje wiele grup
poszukujących luk w zabezpieczeniach urządzeń obsługujących standard Bluetooth98, co zwiększa
prawdopodobieństwo wykorzystania takich ewentualnych luk do rozprzestrzeniania się robaków bądź innych
typów destrukcyjnego kodu.
Kod przetwarzający osadzony w treściach audio i wideo
14 września 2004 r. Microsoft poinformował99 o luce w zabezpieczeniach swojej implementacji formatu
plików graficznych JFIF (JPEG). Umożliwia ona tworzenie destrukcyjnych plików graficznych,
uruchamiających destrukcyjny kod na hoście, który wyświetla dany obraz. Już w osiem dni później
opublikowano funkcjonalny kod wykorzystujący tę lukę. Praktyczne wykorzystanie w rzeczywistych
warunkach tej luki przez destrukcyjny kod zaobserwowano niedługo potem100.
Dotychczas pliki graficzne były ogólnie uznawane za stosunkowo godne zaufania, nawet gdy były osadzone
w treściach pochodzących z zewnątrz, np. na stronach WWW lub w wiadomościach e-mail w formacie
HTML. Jednak pliki graficzne, zwłaszcza gdy używają kompresji tak jak JPEG, to formaty bardzo
skomplikowane i ich wizualizacja wymaga złożonego kodu. Im większa złożoność, tym większa możliwość
pojawienia się i wykrycia luk w zabezpieczeniach. Takie luki występują w szeregu implementacji formatów
plików graficznych, w tym PNG i TIFF.
Sytuacja taka jest niepokojąca, gdyż pliki graficzne są wszechobecne i powszechnie uważane za godne
zaufania, a przy tym stanowią nieodłączny składnik współczesnego użytkowania komputerów. Na przykład
użytkownik przeglądający zaufaną witrynę WWW, taką jak serwis aukcji online, może stać się ofiarą ataku
z użyciem obrazu zawierającego destrukcyjny kod, złośliwie umieszczonego w witrynie, a to może
doprowadzić do zainfekowania jego systemu. Luki w zabezpieczeniach formatów plików graficznych dające
się wykorzystać przez hakerów wzbudzają również coraz większe obawy związane z innymi danymi
osadzonymi lub pochodzącymi z zewnątrz, takimi jak pliki audio i wideo.
Wykrycie tego rodzaju luk w zabezpieczeniach potwierdza obserwowaną tendencję przechodzenia od
ataków na brzegi sieci ku atakom na systemy klienckie, o czym niejednokrotnie była mowa w niniejszym
Raporcie firmy Symantec na temat bezpieczeństwa w Internecie. Firma Symantec przypuszcza, że hakerzy
będą w dalszym ciągu wykorzystywać luki w zabezpieczeniach kodu służącego do przetwarzania złożonych
formatów danych, np. plików audio i wideo, starając się w ten sposób znaleźć nowe drogi ataku na systemyklienty.
96
http://securityresponse.symantec.com/avcenter/venc/data/symbos.skulls.html
http://www.theregister.co.uk/2004/12/29/cabir_code_unleashed/
http://www.securityfocus.com/archive/1/371443 i http://trifinite.org/trifinite_stuff.html
99
http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx
100
http://securityresponse.symantec.com/avcenter/venc/data/trojan.ducky.html
97
98
85
Nieautoryzowane dołączanie koni trojańskich do oprogramowania innych firm
W związku z obserwowaną w ostatnich kilku latach rosnącą popularnością pakietów oprogramowania
o otwartym dostępie do kodu źródłowego (open source), pojawiła się nowa niepokojąca tendencja.
W 2002 r. wykryto tylne wejścia w szeregu popularnych pakietów oprogramowania open source, takich jak
Sendmail 101 i Fragrouter 102. Później, pod koniec 2003 r., wykryto próbę umieszczenia tylnego wejścia
w jądrze systemu Linux103. Od tego czasu odkryto bardzo niewielką liczbę koni trojańskich skrycie
osadzonych w publicznie dostępnym oprogramowaniu, zarówno z otwartym jak i zamkniętym dostępem do
kodu źródłowego.
Nie wydaje się prawdopodobne, by wszystkie punkty dystrybucji oprogramowania były stuprocentowo
zabezpieczone i wolne od ingerencji hakerów, jak też by hakerzy – wewnętrzni lub zewnętrzni – postanowili
gremialnie powstrzymać się od umieszczania tylnych wejść w oprogramowaniu. Raczej przeciwnie, zdaniem
firmy Symantec jest prawdopodobne, że niektóre (być może zdezaktualizowane) witryny dystrybuują
oprogramowanie z jeszcze niewykrytymi tylnymi wejściami. Ewentualność przedostania się kodu typu tylne
wejście do pobieranych pakietów oprogramowania pozostaje bardzo realnym zagrożeniem dla
użytkowników wszystkich platform.
Szczególny niepokój wzbudza wielka liczba serwerów lustrzanych104 oraz serwerów FTP udostępniających
kopie aplikacji i pakietów. Problem ten jest dodatkowo spotęgowany faktem, że większość systemów
operacyjnych wymaga regularnego pobierania uaktualnień z witryn WWW lub serwerów lustrzanych.
Autentyczności większości pobieranego oprogramowania, takiego jak popularne aplikacje typu shareware,
zwykle nie można zweryfikować, zwłaszcza że bardzo niewielu dostawców czy autorów oprogramowania
z zamkniętym dostępem do kodu źródłowego opatruje swoje pakiety podpisami elektronicznymi105.
Twórcy oprogramowania open source zazwyczaj zapewniają lepsze mechanizmy weryfikacji, takie jak
MD5106, tym niemniej istnieją obawy, że również takie mechanizmy mogą być podatne na ataki107. Co
więcej, mimo że niektóre pakiety zawierają mechanizmy automatycznego uwierzytelniania pobieranych
uaktualnień, w wielu innych brakuje takich mechanizmów. Każdy serwer dystrybuujący oprogramowanie,
jeśli zostaną w nim złamane zabezpieczenia, może stać się potencjalnym źródłem dystrybucji
destrukcyjnego kodu zawartego w nielegalnie zmodyfikowanym oprogramowaniu i sytuacja taka może
zostać wykryta dopiero po zainfekowaniu wielu sieci i pojedynczych komputerów.
Firma Symantec obawia się, że może zostać wykryty poważny przypadek umieszczenia tylnego wejścia
w popularnej aplikacji bądź w repozytorium dystrybuującym oprogramowanie. Może to zaalarmować
użytkowników indywidualnych i korporacyjnych oraz skłonić ich do weryfikowania integralności oraz
autentyczności pobieranego oprogramowania przed jego zainstalowaniem.
Narastające zagrożenia dla bezpieczeństwa systemu Mac OS
System operacyjny Macintosh® był dotąd stosunkowo odporny na działania hakerów, zwłaszcza
w porównaniu z takimi systemami, jak Linux i Windows. Jednak wprowadzenie i popularność systemu
Mac OS X108 spowodowały, że firma Apple® Computer również stała się celem ataków wykorzystujących luki
w zabezpieczeniach. Ten nowo zaprojektowany system, wywodzący się z produktu BSD-UNIX, zaczął
przyciągać uwagę nie tylko użytkowników, lecz także badaczy luk w zabezpieczeniach.
101
http://www.securityfocus.com/bid/5921/info/
http://www.securityfocus.com/archive/1/296407
104
Serwery lustrzane to repozytoria oprogramowania rozproszone geograficznie w celu wyrównania obciążenia przy pobieraniu oprogramowania. Serwer lustrzany zawiera
dokładną kopię oprogramowania udostępnianego przez serwer główny.
105
Podpis elektroniczny pakietu gwarantuje użytkownikowi, że pobierane oprogramowanie nie zostało zmanipulowane lub zmodyfikowane bez upoważnienia.
106
http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html
107
http://www.securityfocus.com/archive/1/383574
108
Przykłady niektórych z nich można znaleźć pod adresem http://www.securityfocus.com/bid/11802/info/.
102
103
86
W ubiegłym roku firma Symantec udokumentowała 37 poważnych (zakwalifikowanych do wysokiego
poziomu istotności) luk w zabezpieczeniach systemu Mac OS X. Luki te zostały potwierdzone przez
producenta, co w przypadku firmy Apple prawie zawsze oznacza wprowadzenie programu korygującego.
Pojawienie się w październiku 2004 r. zestawu narzędziowego typu rootkit 109 pod nazwą Opener 110 stanowi
dobrą ilustrację wzmożenia badań nad lukami w zabezpieczeniach platformy Mac OS X. Ponadto wykryto
wiele luk w zabezpieczeniach możliwych do wykorzystania zdalnego i lokalnego111, zarówno w systemie
Mac OS X do serwera, jak i w jego wersji do komputerów osobistych.
Luki w zabezpieczeniach systemu obsługi okien i zestawu dla programistów firmy Apple oraz w domyślnej
konfiguracji serwera Apple Apache to dwie spośród dziewięciu luk, do których firma wprowadziła programy
korygujące (nie wszystkie te luki były poważne). Różne luki w zabezpieczeniach systemu Mac OS X
umożliwiają hakerom ujawnianie informacji, pomijanie uwierzytelniania, aktywowanie kodu, zwiększanie
uprawnień oraz przeprowadzanie ataków typu odmowa usługi.
Wbrew powszechnemu przekonaniu, nie jest prawdą, że system operacyjny Macintosh nigdy nie był
zagrożony destrukcyjnym kodem112. Chociaż przez pewien czas opinia publiczna nie zdawała sobie z tego
sprawy, obecnie jest jasne, że Mac OS jest coraz częściej celem ataków kojarzonych dotąd głównie
z systemami firmy Microsoft i różnymi systemami uniksowymi. Firma Symantec uważa, że popularność
nowej platformy firmy Apple będzie wzrastać i równolegle będzie wzrastać liczba ataków na nią
skierowanych.
Penetracja rynku przez platformy Macintosh zwiększy się wskutek wprowadzenia modelu Mac® mini, który
jako znacznie tańszy może być kupowany przez użytkowników mniej zaawansowanych i przez to mniej
obeznanych z kwestiami bezpieczeństwa. W związku z tym należy oczekiwać, że liczba luk
w zabezpieczeniach będzie rosła, podobnie jak intensywność ataków ukierunkowanych na ich
wykorzystanie. Należy jednak stwierdzić, że chociaż można oczekiwać wzrostu liczby luk
w zabezpieczeniach systemów Macintosh, prawdopodobnie jeszcze przez jakiś czas będzie ich mniej niż
w innych systemach operacyjnych.
Problemy zwalczania oprogramowania typu adware i szpiegowskiego środkami prawnymi
Jak to omówiono w rozdziale „Dodatkowe zagrożenia bezpieczeństwa” niniejszego Raportu firmy Symantec
na temat bezpieczeństwa w Internecie, oprogramowanie typu adware (wyświetlające reklamy)
i szpiegowskie stanowi poważne zagrożenie dla prywatności, poufności oraz ochrony danych osobowych.
Firma Symantec obawia się, że w miarę rozprzestrzeniania się oprogramowania tych dwóch rodzajów,
istniejące regulacje prawne113 mające na celu ochronę przed nielegalnym wykorzystywaniem takich
programów okażą się niedostatecznym środkiem odstraszającym.
W ciągu następnych sześciu miesięcy funkcje oprogramowania typu adware i jego dystrybucja staną się
przedmiotem bardziej intensywnych studiów ze strony organizacji zainteresowanych ochroną prywatności.
Oczekuje się, że w niedalekiej przyszłości rozwiną się standardy dotyczące oprogramowania tego typu,
kładące nacisk na warunki umowy licencyjnej z użytkownikiem, możliwości odinstalowywania oraz stopień
utajenia instalowania się takich programów w systemie użytkownika. Innym problemem jest to, że niektóre
z takich programów uparcie opierają się normalnym procedurom usuwania ich z systemu.
109
Rootkit to zestaw narzędzi służących hakerom do uzyskiwania nieograniczonego dostępu do systemu komputerowego, często w sposób niewykrywalny dla
innych.
111
112
http://www.faqs.org/faqs/computer-virus/macintosh-faq/
113
http://www.leginfo.ca.gov/pub/03-04/bill/sen/sb_1401-1450/sb_1436_bill_20040928_chaptered.html
110
87
Firma Symantec przewiduje, że zjawisko dołączania programów typu adware do pakietów innego
oprogramowania będzie się nasilać, gdyż jest to skuteczna metoda instalowania takich programów.
Gwałtowny wzrost ilości oprogramowania typu adware w ostatnich kilku latach wskazuje, że zapewnia ono
stosunkowo dobry zwrot z inwestycji. Firma Symantec przypuszcza, że będzie to czynnikiem stymulującym
opracowywanie i implementowanie oprogramowania typu adware, pomimo istnienia ustaw mających na
celu ograniczenie stosowania go. Należy przypuszczać, że prawo takie nie będzie skuteczne. Internet ze
swojej natury przekracza swobodnie granice państw, co powoduje poważne problemy natury legislacyjnej,
zwłaszcza w przypadku, gdy dystrybucja jest prowadzona z miejsca, gdzie takie prawo nie obowiązuje.
Oznacza to, że oprogramowanie typu adware może stać się bardziej kłopotliwe dla użytkowników, gdyż
ściganie takiej działalności będzie wymagało współpracy organów wymiaru sprawiedliwości różnych krajów,
a tego nie zawsze można oczekiwać.
Zagrożenia ze strony oprogramowania szpiegowskiego również będą się nasilać. Oprogramowanie takie
narusza prywatność i poufność oraz zwiększa ryzyko kradzieży tożsamości. Może to stanowić istotny
problem zarówno dla przedsiębiorstw, jak i dla użytkowników indywidualnych. Ofiary takich ataków borykają
się z kłopotami nie tylko na poziomie technicznym, lecz także życiowym, np. muszą uzyskać nowe karty
kredytowe, sprawdzić i skorygować dokumenty finansowe, sprostować obciążenia kart kredytowych oraz
prześledzić inne możliwe nadużycia skradzionych danych.
88
Załącznik A – Najlepsze procedury zalecane przez firmę Symantec
Najlepsze procedury zalecane dla przedsiębiorstw
1. Wyłączyć i usunąć niepotrzebne usługi.
2. Jeśli zagrożenie hybrydowe zaatakuje jedną lub więcej usług sieciowych, wyłączyć te usługi lub
zablokować dostęp do nich do momentu wdrożenia programu korygującego.
3. Pilnować aktualności programów korygujących, zwłaszcza w przypadku komputerów, które świadczą
usługi publiczne i są dostępne za pośrednictwem zapory ogniowej, takich jak serwery HTTP, FTP,
poczty elektronicznej i DNS.
4. Egzekwować przestrzeganie reguł dotyczących haseł.
5. Skonfigurować serwer poczty elektronicznej w taki sposób, aby blokował lub usuwał wiadomości e-mail
zawierające załączniki często używane do rozprzestrzeniania wirusów, takie jak pliki .vbs, .bat, .exe,
.pif i .scr.
6. Natychmiast izolować zainfekowane komputery, aby zapobiec rozszerzaniu się infekcji w systemie
przedsiębiorstwa. Przeprowadzić dochodzenie i przywrócić odpowiedni stan komputerów przy użyciu
zaufanych nośników.
7. Poinstruować pracowników, aby nie otwierali niespodziewanych załączników. Przed uruchomieniem
oprogramowania pobranego z Internetu sprawdzać je za pomocą mechanizmów antywirusowych.
8. Wdrożyć odpowiednie procedury reagowania w sytuacjach awaryjnych.
9. Uświadomić kierownictwu potrzeby budżetowe związane z ochroną.
10. Przetestować zabezpieczenia w celu upewnienia się, że wdrożono odpowiednie środki.
11. Zarówno programy szpiegujące, jak i programy typu adware mogą zostać automatycznie zainstalowane
na komputerach razem z programami do udostępniania plików, darmowymi aplikacjami, programami
typu freeware lub shareware, przez kliknięcie łącza lub załącznika w wiadomościach e-mail bądź za
pośrednictwem komunikatorów (Instant Messaging). Należy upewnić się, że na komputerach
biurkowych są zainstalowane tylko aplikacje zatwierdzone przez firmę.
Najlepsze procedury zalecane dla użytkowników indywidualnych
1. Stosować zabezpieczenie internetowe obejmujące oprogramowanie antywirusowe, zaporę ogniową,
mechanizm wykrywania włamań i funkcje zarządzania lukami w zabezpieczeniach. Rozwiązanie takie
zapewnia maksymalną ochronę przed zagrożeniami hybrydowymi.
2. Dbać o aktualizacje zabezpieczeń.
3. Stosować hasła, które łączą litery i cyfry. Nie używać jako haseł wyrazów występujących w słowniku.
Często zmieniać hasła.
4. Nigdy nie wyświetlać, nie otwierać ani nie uruchamiać żadnych załączników do poczty elektronicznej,
jeśli nie zna się ich przeznaczenia.
89
5. Aktualizować definicje wirusów. Najnowsze definicje wirusów chronią przedsiębiorstwa i użytkowników
indywidualnych przed najnowszymi wirusami rozprzestrzeniającymi się w sieci.
6. Użytkownicy indywidualni powinni regularnie sprawdzać, czy ich system PC lub Macintosh jest
podatny na ataki, korzystając z usługi Symantec Security Check dostępnej pod adresem:
www.symantec.com/securitycheck.
7. Wszyscy użytkownicy komputerów – bez względu na kategorię – muszą umieć rozpoznawać
mistyfikacje i próby phishingu. Mistyfikacja (z ang. Hoax) to zazwyczaj fałszywe ostrzeżenie przesyłane
pocztą elektroniczną, które wzywa, by rozesłać je do wszystkich znanych sobie osób. Wezwania takie
są pisane nieprawidłowym żargonem technicznym w sposób mający na celu zastraszenie użytkownika
lub wprowadzenie go w błąd. Natomiast próby phishingu są o wiele bardziej wyrafinowane. Polegają
one na wysyłaniu do użytkowników fałszywych wiadomości e-mail, które sprawiają wrażenie wysłanych
przez firmę o znanej marce i żądają podania numeru karty kredytowej lub innych poufnych informacji
w formularzu w fałszywym serwisie internetowym, wyglądającym tak, jak serwis internetowy takiej
znanej firmy. Użytkownicy indywidualni i pracownicy firm powinni zawsze sprawdzać, kto przesyła
takie informacje oraz czy ich źródło jest godne zaufania. Najlepszym sposobem postępowania jest po
prostu usuwanie tego rodzaju wiadomości e-mail.
8. Użytkownicy indywidualni mogą przyczynić się do zwalczania przestępczości komputerowej, śledząc
i zgłaszając próby włamania. Usługa Symantec Security Check umożliwia użytkownikom szybkie
określanie lokalizacji potencjalnych hakerów oraz przekazywanie tych informacji policji lub operatorowi
Internetu świadczącemu usługi na rzecz atakującego.
9. Należy znać różnice między programami szpiegującymi a programami typu adware. Programy
szpiegujące są wykorzystywane do przeprowadzania złośliwych ataków i kradzieży tożsamości, zaś
programy typu adware służą do gromadzenia danych dla potrzeb marketingu i są opracowywane
w słusznym, na ogół nieszkodliwym celu.
10. Zarówno programy szpiegujące, jak i programy typu adware mogą zostać automatycznie zainstalowane
na komputerach razem z programami do udostępniania plików, darmowymi aplikacjami, programami
freeware lub shareware, przez kliknięcie łącza lub załącznika w wiadomościach e-mail bądź za
pośrednictwem komunikatorów (Instant Messaging). Należy zatem instalować w komputerze tylko
aplikacje wybrane w oparciu o świadomą decyzję.
11. Nie należy bezmyślnie klikać przycisku „Tak, akceptuję” w umowach licencyjnych na
oprogramowanie. Niektóre programy szpiegujące i typu adware mogą zostać zainstalowane po
zaakceptowaniu warunków licencji lub jako produkt powiązany. Należy dokładnie zapoznać się z
treścią umowy licencyjnej, aby określić jej skutki dla prywatności. Umowa powinna w przejrzysty
sposób wyjaśniać, jak działa oprogramowanie, oraz powinna umożliwiać jego deinstalację.
12. Należy uważać na programy wyświetlające reklamy w interfejsie użytkownika. Wiele programów
szpiegujących monitoruje reakcje użytkownika na te reklamy, a ich obecność powinna budzić
niepokój. Reklamy w interfejsie użytkownika mogą oznaczać, że mamy do czynienia z programem
szpiegującym.
90
Załącznik B – Metodyka badań tendencji dotyczących ataków
Tendencje dotyczące ataków opisane w niniejszym Raporcie są oparte na analizie danych zebranych przez
usługi Symantec DeepSight Threat Management System i Symantec Managed Security Services. Obie te
grupy usług stosują wspólną konwencję oznaczania typów ataków, co umożliwia analitykom łączenie
danych o atakach i analizowanie ich wspólnie bądź oddzielnie. Firma Symantec łączy na potrzeby analizy
dane z obu tych źródeł, gdy jest to uzasadnione, to znaczy gdy oba źródła zawierają atrybuty potrzebne do
określonej analizy. W innych przypadkach korzysta tylko z jednego źródła, jeśli potrzebne atrybuty
występują tylko w nim. Tabela 9 przedstawia ogólną charakterystykę metod stosowanych przez każde
z wymienionych źródeł.
Procent
przedsiębiorstw
w próbie
Żródło danych
Metodyka gromadzenia danych
Symantec DeepSight Threat
Management System
System Symantec DeepSight Threat Management System
gromadzizdarzenia sygnalizowane przez systemy IDS i zapory
ogniowe z ponad 20 tys. urządzeńzabezpieczających,
zainstalowanych w przeszło 180 krajach
60%
Symantec Managed
Security Services
Usługi Symantec Managed Security Services zapewniają
monitorowanie w czasie rzeczywistym i analizowanie ataków
wymierzonych w przedsiębiorstwa z całego świata. Z uwagi na
charakter monitorowania, niektóre statystyki, takie jak poziom
istotności zdarzenia, staż klienta usługi świadczonej przez firmę
Symantec czy liczba ataków na przedsiębiorstwo, odnoszą się
tylko do danych zebranych od klientów usług Symantec Managed
Security Services.
40%
Tabela 9. Metody gromadzenia danych używane przez firmę Symantec
Definicje ataków
W celu wyeliminowania wątpliwości co do znaczenia uzyskanych wyników, poniżej opisano przystępnie
metodykę używaną przez firmę Symantec przy identyfikowaniu różnych form ataków. Metodyka ta jest
stosowana konsekwentnie we wszystkich fazach monitorowania i analizy. Pierwszym krokiem w analizie
ataków jest precyzyjne zdefiniowanie, czym jest atak. Firma Symantec nie ogranicza analizy do tylko jednej
miary (wskaźnika), lecz stosuje kilka różnych miar, z których każda jest właściwa w pewnych
okolicznościach. Poniżej przedstawiamy ogólne kategorie stosowane w niniejszym Raporcie.
Ataki – Ataki są to poszczególne objawy destrukcyjnej działalności w sieci. Na jeden atak może składać się
jeden alarm sygnalizowany przez system IDS lub zaporę ogniową, bądź więcej takich alarmów, jeśli
wszystkie wskazują na to samo działanie atakującego. Na przykład, wiele zapisów w dzienniku zapory
ogniowej często wskazuje na jedną próbę skanowania sieci. Liczba tak rozumianych ataków jest najlepszym
wskaźnikiem ogólnej liczby działań podejmowanych przez atakujących i wykrytych w analizowanym okresie.
91
Ataki z wykorzystaniem robaków – Aby umożliwić formułowanie bardziej użytecznych wniosków
dotyczących tendencji w metodach atakowania, wyróżniono działania związane z autonomicznym
rozprzestrzenianiem się robaków. Bezwzględna weryfikacja źródła pewnych działań jest często niemożliwa,
gdyż np. skanowanie sieci przez konia trojańskiego może wyglądać identycznie jak próba rozprzestrzeniania
się robaka. Decyzja o tym, czy źródłem danego ruchu w sieci jest robak często opiera się na ustalonym
źródle pochodzenia większości ruchu.
Zdarzenia – Zdarzenia sygnalizowane przez mechanizmy ochrony są to logiczne grupy złożone z pewnej
liczby ataków. Termin „zdarzenie” (event) jest stosowany tylko przez usługę Symantec Managed Security
Service. Zdarzenie może obejmować grupę podobnych, ale niestanowiących zagrożenia ataków,
skierowanych przeciwko przedsiębiorstwu w danym dniu (na przykład w jedno zdarzenie grupuje się
wszystkie, zaobserwowane w sieci przedsiębiorstwa w ciągu dnia, niestanowiące zagrożenia próby
skanowania w protokole HTTP). Zdarzenie może także obejmować kilka ataków na tę samą firmę,
przeprowadzonych w pewnym okresie przez jednego atakującego. Zdarzenia są generowane tylko przez
usługę Symantec Managed Security Service i termin ten jest używany w niniejszym Raporcie tylko
w kontekście częstości występowania poważnych zdarzeń.
Poziom istotności zdarzeń
Poziom istotności zdarzeń dotyczy tylko danych generowanych przez usługę Symantec Managed Security
Service. Każde zdarzenie oceniane przez analityków ds. zabezpieczeń z firmy Symantec jest zaliczane do
jednego z czterech poziomów istotności: informacyjnego, ostrzegawczego, krytycznego i awaryjnego (tab.
10). Ten system oceny ma na celu głównie określenie priorytetów reakcji klienta na destrukcyjne działania
w zależności od względnego zagrożenia, jakie dane zdarzenie stwarza dla środowiska.
Poziom istotności jest określany na podstawie cech charakterystycznych ataku, środków ochronnych
klienta, wartości zagrożonych zasobów oraz względnej skuteczności ataku. Powyższe cztery poziomy
istotności dzielą się ponadto na dwie kategorie: zdarzenia poważne i zdarzenia mniej poważne. Do zdarzeń
poważnych zalicza się działania zakwalifikowane jako „Awaryjne” lub „Krytyczne”, natomiast do zdarzeń
mniej poważnych zaliczono działania zakwalifikowane jako „Informacyjne” lub „Ostrzegawcze”. Zdarzenie
poważne wymaga podjęcia natychmiastowych środków zaradczych, podczas gdy zdarzenie mniej poważne
ma charakter głównie informacyjny.
92
Kategoria
istotności
Zdarzenia mniej
poważne
Poziom istotności
Definicja
Informacyjny
Zdarzenia polegające na skanowaniu sieci w poszukiwaniu destrukcyjnych
usług, a także zdarzenia sygnalizowane przez systemy IDS,bez istotnego
wpływu na sieć klienta.
Przykład: Skanowanie w poszukiwaniu usług z lukami w zabezpieczeniach,
jeśli wszystkie próby połączenia są odrzucane przez zaporę ogniową.
Zdarzenia
poważne
Ostrzegawczy
Przykład: Próby skanowania i omiatania horyzontalnego, w przypadku których
pewne połączenia zostały dopuszczone, ale nie doszło do złamania
zabezpieczeń.
Krytyczny
Zdarzenia destrukcyjne z natury, wymagające podjęcia przez firmę Symantec
lub klienta działań w celu naprawienia luki i niedopuszczenia do faktycznego
wykorzystania sieci lub urządzeń klienta. Z definicji, jeśli zdarzenie krytyczne
nie zostanie udaremnione przez odpowiednie środki ochrony, może
spowodować skuteczne złamanie zabezpieczeń systemu.
Przykłady: (1) Ciągłe ataki z jednego adresu IP na sieć klienta bądź wykrycie
istotnej luki w zabezpieczeniach sieci klienta przez atakującego lub przez
centrum Security Operations Center (SOC) usług zarządzania ochroną firmy
Symantec. Np. w Internecie zaobserwowano istnienie skutecznego kodu
wykorzystującego tę lukę w zabezpieczeniach, ale nie wykryto późniejszych
działań w celu faktycznego wykorzystania tej luki. (2) Wykryto podejrzany
ruch niewiadomego pochodzenia, wymagający podjęcia przez klienta
dochodzenia w celu wyśledzenia lub wyeliminowania go.
Awaryjny
Zdarzenia wskazujące, że doszło do złamania zabezpieczeń sieci klienta.
Zdarzenie awaryjne wymaga od klienta podjęcia odpowiedniej procedury
odtwarzania.
Przykład: Skuteczne wykorzystanie luki w zabezpieczeniu serwera WWW.
Tabela 10. Klasyfikacja poziomów istotności zdarzeń
Zapytania używane w badaniach
W niniejszym podrozdziale opisano bardziej szczegółowo specyficzne metody używane do generowania
danych i statystyk wykorzystanych w niniejszym Raporcie. Wprawdzie większość metod została odpowiednio
wyjaśniona w części niniejszego Raportu poświęconej analizom, jednak przedstawione poniżej badania
wymagają dodatkowych wyjaśnień.
Dzienna częstość ataków
Firma Symantec stosuje wskaźnik dziennej częstości ataków jako metodę zgrubnego oszacowania liczby
ataków skierowanych na firmy podłączone do Internetu. Chociaż dzienna liczba ataków w dużym stopniu
jest uzależniona od rozmaitych czynników, stanowi wiarygodny wskaźnik tego, czy liczba ataków wzrosła,
czy też spadła w porównaniu z poprzednim badanym okresem.
W poprzednich wydaniach Raportu na temat bezpieczeństwa w Internecie za podstawę do określenia
dziennej częstości ataków przyjęto średnią liczbę ataków wykrytych przez czujniki usług
93
Symantec Managed Security Services i Symantec DeepSight Threat Management System. Liczba ta
mogłaby jednak ulec przekłamaniu, gdyby na niewielką liczbę organizacji skierowano nieproporcjonalnie
dużą liczbę ataków. Aby nie dopuścić do takiej sytuacji, dla wszystkich objętych analizą czujników danych
przyjęto medianę liczby wykrytych przez nie ataków. Takie podejście dokładniej odzwierciedla zmiany
częstości ataków, które można zaobserwować w typowej sieci (pod względem wielkości i wdrożonych
zabezpieczeń).
Najczęstsze ataki internetowe
Firma Symantec opracowała ranking najczęstszych ataków obserwowanych w sieci. Jego podstawą są bazy
danych utrzymywane przez usługi Symantec DeepSight Threat Management System i Symantec Managed
Security Services. W rankingu tym nie rozróżnia się ataków z udziałem i bez udziału robaków, natomiast
wskazuje on rozkład ataków, jakich może oczekiwać host podłączony do Internetu. W przypadku, gdy
pewne ataki są ściśle związane z robakami, zostało to zaznaczone w tekście.
Firma Symantec bada i hierarchizuje ataki na trzy sposoby. Każde z tych podejść zapewnia wgląd
w określone pojawiające się tendencje. Ataki można charakteryzować przez określenie:
• procentu czujników, które wykryły ataki danego typu;
• procentu adresów IP, z których przeprowadzono ataki danego typu;
• procentu ogólnej liczby wykrytych ataków, jaki stanowią ataki danego typu.
W niniejszym Raporcie przedstawiono procent adresów IP, z których przeprowadzono ataki
poszczególnych typów.
Najczęściej atakowane porty
Dane dotyczące najczęściej atakowanych portów zostały zgromadzone wyłącznie przez usługę Symantec
DeepSight Threat Management System. Reprezentują one liczbę poszczególnych prób skanowania,
sygnalizowanych przez urządzenia zabezpieczające zainstalowane na obrzeżach sieci na całym świecie.
Nie każde skanowanie portu może być uznane za działanie wrogie, ale dane dotyczące portów często
sygnalizują szeroko zakrojone próby skanowania w poszukiwaniu usług stanowiących cel ataku.
Firma Symantec bada i hierarchizuje atakowane porty na trzy sposoby. Każde z tych podejść zapewnia
wgląd w określone pojawiające się tendencje. Ataki na poszczególne porty można charakteryzować przez
określenie:
• procentu czujników, które wykryły ataki danego typu;
• procentu adresów IP, z których przeprowadzono ataki danego typu;
• procentu ogólnej liczby wykrytych ataków, jaki stanowią ataki danego typu.
W niniejszym Raporcie przedstawiono procent adresów IP, z których przeprowadzono ataki poszczególnych
typów.
94
Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi
Firma Symantec rozpoznaje określone wzorce skanowania i obserwowanego ruchu sieciowego oraz kojarzy
je z regułami definiującymi specyficzne zachowania charakteryzujące skoordynowane skanowanie. Aby
dany komputer został zakwalifikowany jako uczestniczący w skoordynowanym ataku (co wskazuje że jest
zainfekowany oprogramowaniem typu bot), musi spełnić warunki określone tymi regułami oraz muszą
zostać wykluczone inne powody takiego zachowania. To podejście oparte na obserwacji zachowania nie
zapewnia wykrycia wszystkich komputerów zainfekowanych oprogramowaniem typu bot, a ponadto może
doprowadzić do zakwalifikowania do tej kategorii innego rodzaju destrukcyjnego kodu powodującego
skoordynowane zachowania. Ataki typu odmowa usługi są określane przez analizę ruchu odbitych pakietów
(backscatter) powstałego wskutek takich ataków przeprowadzonych z wykorzystaniem sfałszowanych
adresów źródłowych.
Kraje najczęściej inicjujące ataki
Firma Symantec identyfikuje kraje będące źródłem ataków, automatycznie wyszukując źródłowe adresy IP
ataków w kilku bazach danych utrzymywanych przez niezależne firmy, a zawierających dane o abonentach.
Bazy te umożliwiają powiązanie położenia geograficznego systemów ze źródłowymi adresami IP. Użyte bazy
danych są generalnie uznawane za rzetelne, ale dopuszczają pewien, niewielki margines błędu. Obecnie
firma Symantec jest w stanie powiązać tą metodą źródłowy adres IP z dowolnym krajem na świecie. Należy
podkreślić, że chociaż firma Symantec dysponuje niezawodną metodą identyfikacji źródłowego adresu IP
hosta, który jest bezpośrednio odpowiedzialny za przeprowadzenie ataku, to sprawdzenie fizycznej
lokalizacji atakującego nie jest możliwe. Prawdopodobnie wiele źródeł ataków stanowią systemy pośrednie,
użyte w celu zamaskowania prawdziwej tożsamości i lokalizacji atakującego.
Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu
Liczbę użytkowników Internetu uzyskano z dokumentu World Factbook 2004 opublikowanego przez CIA.
Dokument ten zawiera dane dotyczące liczby użytkowników Internetu w poszczególnych krajach.
Analiza ataków według branż
Dla celów niniejszego Raportu za „ukierunkowanego atakującego” uważa się atakującego, który
przeprowadził wykryte ataki na co najmniej trzy przedsiębiorstwa z danej branży, a nie przeprowadził
ataków na żadne inne branże. Na rys. 36 przedstawiono procentowy podział badanej próby na
poszczególne branże. Ze statystyki wyłączono branże, w których zainstalowano mniej niż 10 czujników.
95
Administracja lokalna i samorządy 1%
Media i rozrywka 1%
Transport 2%
Telekomunikacja 2%
Handel detaliczny 2%
Organizacje pozarządowe (nonprofit) 2%
Oświata 3%
Rolnictwo, budownictwo i górnictwo 1%
Inne 0%
Zaawansowane technologie 26%
Małe firmy 3%
Administracja państwowa 3%
Energetyka 4%
Branża nieznana 4%
Produkcja 4%
Ochrona zdrowia 6%
Usługi finansowe 20%
Usługi biznesowe 7%
Użytkownicy domowi 9%
Rys. 36. Aktywność ataków w poszczególnych branżach
Poziom istotności ataków na poszczególne branże
Infrastruktura usług Symantec Managed Security Services umożliwia sporządzenie rankingu ataków pod
względem ich poziomu istotności. Analitycy firmy Symantec klasyfikują ataki według ich poziomu istotności
na podstawie rodzaju przeprowadzonego ataku, podatności ofiary na atak oraz skuteczności ataku.
Ataki ukierunkowane na poszczególne branże
Częstość ataków ukierunkowanych na daną branżę to wskaźnik określany przez odsetek atakujących
wyłącznie firmy i instytucje z danej branży. Pokazuje on, które branże są najczęstszym celem
ukierunkowanych ataków. Na jego wartość może wpływać ogólna liczba ataków przeprowadzonych na daną
branżę, ale daje on wyobrażenie o skali zainteresowania, jakim dana branża cieszy się wśród
ukierunkowanych atakujących.
96
Załącznik C – Metodyka badań tendencji dotyczących luk w zabezpieczeniach
W rozdziale „Tendencje dotyczące luk w zabezpieczeniach” Raportu firmy Symantec na temat
bezpieczeństwa w Internecie omówiono postępy w zakresie wykrywania i wykorzystywania luk
w zabezpieczeniach w ciągu ostatniego półrocza. Niniejszy rozdział poświęcony metodyce opisuje metody
gromadzenia danych i ich analizy, która doprowadziła do sformułowania wniosków zaprezentowanych
w rozdziale „Tendencje dotyczące luk w zabezpieczeniach”.
Firma Symantec utrzymuje jedną z najobszerniejszych na świecie baz danych dotyczących luk
w zabezpieczeniach. Baza ta zawiera ponad 9 tys. pozycji. Informacje przedstawione w rozdziale
„Tendencje dotyczące luk w zabezpieczeniach” są oparte na analizie tych danych, dokonanej przez
badaczy firmy Symantec.
Klasyfikacja luk w zabezpieczeniach
Po odkryciu i/lub ujawnieniu nowej luki w zabezpieczeniach, analitycy firmy Symantec zbierają jej wszystkie
charakterystyki i generują komunikat alarmowy. Komunikat ten opisuje istotne cechy luki, takie jak poziom
istotności, łatwość wykorzystania oraz wykaz produktów, w których luka występuje. Cechy te są następnie
wykorzystywane (bezpośrednio i pośrednio) podczas analizy.
Typy luk w zabezpieczeniach
Po odkryciu nowej luki, analitycy zagrożeń w firmie Symantec klasyfikują lukę, zaliczając ją do jednej
z 12 kategorii. System klasyfikacji jest oparty na opracowaniu Taimura Aslama i in. (1996)114 definiującym
taksonomię luk w zabezpieczeniach. Możliwe kategorie podano poniżej (ww. opracowanie zawiera pełne
opisy każdej kategorii):
• błąd warunku brzegowego,
• błąd kontroli poprawności dostępu,
• błąd kontroli poprawności źródła,
• błąd kontroli poprawności wejścia,
• nieobsłużenie warunku wyjątkowego,
• błąd stanu wyścigu,
• błąd szeregowania,
• błąd atomizacji (niepodzielności) operacji,
• błąd środowiska,
• błąd konfiguracji,
• błąd projektowy.
114
Stosowanie taksonomii luk w zabezpieczeniach” („Use of a Taxonomy of Security Faults”), http://ftp.cerias.purdue.edu/pub/papers/taimur-aslam/aslam-krsulspaf-taxonomy.pdf
97
Poziomy istotności
Poziom istotności luki w zabezpieczeniach określa, w jakim stopniu dana luka umożliwia hakerowi dostęp
do atakowanego systemu. Miara ta określa również potencjalne skutki efektywnego wykorzystania takiej luki
dla poufności, integralności oraz dostępności zainfekowanego systemu. Analitycy firmy Symantec określają
poziom istotności każdej nowo odkrytej luki w skali od 1 do 10. Poziom istotności jest określany na
podstawie następujących czynników:
• Skutki – relatywne skutki dla systemu zawierającego lukę, gdyby została ona wykorzystana. Na przykład
jeśli luka umożliwia atakującemu uzyskanie pełnego dostępu do systemu na poziomie administratora,
skutki luki są oceniane jako „bardzo poważne”. Im poważniejsze są skutki luki, tym wyższy jest
przyznawany jej poziom istotności.
• Możliwość zdalnego wykorzystania – czynnik ten określa, czy daną lukę można wykorzystać zdalnie, czy
też nie. Lukę uznaje się za możliwą do zdalnego wykorzystania, jeśli można ją wykorzystać przy użyciu
choćby jednej metody z miejsca zewnętrznego w stosunku do systemu, najczęściej za pośrednictwem
jakiegoś protokołu telekomunikacyjnego, np. TCP/IP, IPX lub dostępu telefonicznego. Lukom uznanym za
możliwe do zdalnego wykorzystania przyznaje się wyższy poziom istotności.
• Konieczność uwierzytelnienia – czynnik ten określa, czy luka może być wykorzystana jedynie po
uwierzytelnieniu się w systemie, w którym występuje, czy też można ją wykorzystać bez jakiegokolwiek
uwierzytelnienia. Uznanie luki za możliwą do wykorzystania bez uwierzytelnienia ze strony atakującego
powoduje przyznanie jej wyższego poziomu istotności.
• Dostępność systemu zawierającego lukę – czynnik ten określa łatwość uzyskania przez atakującego
dostępu do systemu w sposób umożliwiający wykorzystanie luki. Niektóre luki mogą być wykorzystane
zawsze, o ile atakujący uzyska dostęp do systemu. Inne luki mogą być wykorzystane tylko pod
warunkiem wybrania odpowiedniego momentu, interakcji z innymi obiektami lub osobami bądź
wystąpienia innych specyficznych okoliczności. Im większa jest dostępność systemu dla atakującego, tym
wyższy będzie poziom istotności luki.
Po zebraniu informacji na temat powyższych czterech czynników, analitycy używają ustalonego algorytmu,
który daje w wyniku ocenę poziomu istotności luki w skali od 1 do 10. Na potrzeby niniejszego Raportu,
poziom istotności jest wyrażany w skali „wysoki”, „umiarkowany” i „niski”. Sposób przeliczenia skal
przedstawiono w tabeli 3. Dla celów niniejszego Raportu, każdej z luk w zabezpieczeniach przypisano jeden
z następujących poziomów istotności:
Niski poziom istotności (0-3) – Luki stanowiące niewielkie zagrożenie. Haker nie może wykorzystać luki za
pośrednictwem sieci, a ponadto nawet skuteczne wykorzystanie luki nie powoduje kompletnego
opanowania informacji przechowywanych lub transmitowanych w systemie. Luki o niskim poziomie
istotności obejmują niekrytyczne złamanie poufności (np. ujawnienie konfiguracji systemu) oraz
niekrytyczną utratę integralności (np. uszkodzenie lokalnego pliku).
Umiarkowany pozom istotności (4-7) – Luki umożliwiające częściowe złamanie zabezpieczeń
zaatakowanego systemu, na przykład takie, dzięki którym atakujący uzyskuje wyższe uprawnienia, ale nie
uzyskuje kompletnej kontroli nad atakowanym systemem. Do umiarkowanego poziomu istotności zaliczane
są luki, których skutki wykorzystania są poważne, ale których możliwość wykorzystania przez hakera jest
98
ograniczona. Są to np. luki, których wykorzystanie wymaga lokalnego dostępu do systemu bądź
uprzedniego uwierzytelnienia w systemie.
Wysoki poziom istotności (8-10) – Luki w zabezpieczeniach, których wykorzystanie prowadzi do całkowitego
opanowania systemu. W prawie wszystkich przypadkach skuteczne ich wykorzystanie może spowodować
kompletną utratę poufności, integralności i dostępności danych przechowywanych lub transmitowanych
w takim systemie. Luki o wysokim poziomie istotności umożliwiają hakerom dostęp za pośrednictwem sieci
bez uwierzytelniania.
Poziom istotności
Wysoki
Umiarkowany
Niski
Zakres oceny istotności
X≥7
4 ≤ X< 7
x<4
Tabela 11. Wyznaczanie poziomu istotności
Łatwość wykorzystania
Wskaźnik łatwości wykorzystania określa, ile wysiłku wymaga posłużenie się daną luką w zabezpieczeniach.
Analityk ocenia łatwość wykorzystania po starannym zbadaniu, czy w celu posłużenia się tą luką jest
potrzebny specjalny kod i czy kod taki jest dostępny. Każda luka jest zaliczana do jednej z trzech podanych
poniżej kategorii.
• Kod do wykorzystania luki jest dostępny – zaawansowany kod umożliwiający wykorzystanie luki jest
publicznie dostępny dla wszystkich potencjalnych atakujących.
• Kod do wykorzystania luki nie jest potrzebny – potencjalni atakujący mogą wykorzystać lukę bez użycia
zaawansowanego kodu. Innymi słowy, aby wykorzystać lukę, atakujący nie musi tworzyć ani używać
skomplikowanych skryptów czy narzędzi.
• Kod do wykorzystania luki -nie jest dostępny – do ewentualnego wykorzystania luki potencjalny atakujący
musiałby użyć specjalnego kodu, ale kod taki nie jest dostępny publicznie.
Na potrzeby niniejszego Raportu, luki z dwóch pierwszych kategorii są uznawane za „łatwe do
wykorzystania”, ponieważ atakujący może je wykorzystać nie dysponując zaawansowanymi kwalifikacjami.
Luki ostatniej kategorii są uznawane za „trudne do wykorzystania”, ponieważ aby je wykorzystać, atakujący
musi opracować własny kod.
115
Chodzi o luki w zabezpieczeniach umożliwiające uszkodzenie pamięci. Kategoria ta obejmuje wykorzystanie błędów przepełnienia bufora, błędów obsługi
nadmiaru stałopozycyjnego, błędów związanych z ciągami formatującymi oraz innych luk prowadzących do zniszczenia zawartości pamięci systemu.
99
Czas opracowywania kodu wykorzystującego luki w zabezpieczeniach
Możliwość pomiaru czasu opracowywania kodu wykorzystującego luki w zabezpieczeniach jest ograniczona
oraz ma zastosowanie tylko w przypadku luk w zabezpieczeniach, których wykorzystanie normalnie wymaga
takiego kodu. Z tych względów miara ta dotyczy sytuacji, gdy:
• istnieje luka w zabezpieczeniach, którą firma Symantec uznaje za dostatecznie złożoną115, ale do której
nie było kodu umożliwiającego jej wykorzystanie dopóki ktoś go nie opracował;
z wyłączeniem jednak następujących sytuacji:
• wykorzystanie luki w zabezpieczeniach nie wymaga specjalnego kodu;
• kod wykorzystujący lukę w zabezpieczeniach został opublikowany przez osobę, która wykryła tę lukę;
• do luki w zabezpieczeniach istnieje kod o charakterze teoretycznego dowodu poprawności koncepcji
(proof of concept), który w praktyce nie funkcjonuje.
Jako datę ujawnienia luki w zabezpieczeniach przyjmuje się datę pierwszej odnalezionej wzmianki na jej
temat (np. w wiadomości na grupie dyskusyjnej). Jako datę publikacji kodu umożliwiającego jej
wykorzystanie przyjmuje się datę pierwszej odnalezionej wzmianki o takim kodzie.
Czas upływający pomiędzy ujawnieniem luki w zabezpieczeniach a pojawieniem się kodu umożliwiającego
jej wykorzystanie jest wyznaczany na podstawie tych dat, po czym obliczana jest średnia tego czasu dla
każdego miesiąca.
Porównanie luk w zabezpieczeniach przeglądarek
Powszechnie znane są trudności z dokładnym wykryciem i zidentyfikowaniem luk w zabezpieczeniach
poszczególnych przeglądarek. Zgłoszony atak może być wykonalny tylko dzięki zbiegowi kilku różnych
okoliczności, z których każda może być uznana za oddzielną lukę w zabezpieczeniach. Taka sytuacja może
zniekształcić łączną liczbę wykrytych luk. Podczas interpretacji danych należy mieć na uwadze następujące
zastrzeżenia:
Ze względu na trudności z porównywaniem dających się zweryfikować, potwierdzonych i niepowtarzalnych
luk w zabezpieczeniach, w analizie uwzględniamy tylko luki potwierdzone przez producenta
oprogramowania.
Powszechnie znane są trudności z dokładnym wykryciem i zidentyfikowaniem luk w zabezpieczeniach
poszczególnych przeglądarek. Zgłoszony atak może być wykonalny tylko dzięki zbiegowi kilku różnych
okoliczności, z których każda może być uznana oddzielną lukę w zabezpieczeniach. Taka sytuacja może
zniekształcić łączną liczbę wykrytych luk.
Nie każda wykryta luka w zabezpieczeniach jest wykorzystywana. W chwili opracowywania niniejszego
raportu nie był znany żaden przypadek masowego wykorzystania luki w zabezpieczeniach jakiejkolwiek
przeglądarki poza przeglądarką Microsoft Internet Explorer. Należy przypuszczać, że sytuacja ta ulegnie
zmianie, gdy wzrośnie popularność innych przeglądarek.
Firefox jest stosunkowo nową przeglądarką i z tego względu nie występuje w analizach danych za
wcześniejsze badane okresy.
100
Załącznik D – Metodyka badań tendencji dotyczących destrukcyjnego kodu
Tendencje dotyczące destrukcyjnego kodu zostały określone na podstawie wyników analizy statystycznej
próbek destrukcyjnego kodu, przekazywanych do firmy Symantec. Firma Symantec gromadzi dane z ponad
120 mln systemów – klientów, serwerów i bram – na których wdrożone są produkty antywirusowe firmy
Symantec. Systemy te znajdują się zarówno w środowiskach użytkowników indywidualnych, jak
i przedsiębiorstw. Technologie Symantec Digital Immune System oraz Scan and Deliver umożliwiają
użytkownikom zautomatyzowanie procesu zgłaszania zagrożeń.
Obserwacje zawarte w rozdziale „Tendencje dotyczące destrukcyjnego kodu” są oparte na danych
empirycznych i analizach ekspertów. Dane pochodzą głównie z dwóch opisanych poniżej baz danych.
Również analizy są oparte głównie na danych z tych baz.
Baza danych o infekcjach
Aby ułatwić wykrywanie i usuwanie wirusów komputerowych, firma Symantec opracowała technologię
Symantec AntiVirus Research Automation (SARA). Firma Symantec używa jej do analizowania, powielania
i definiowania dużego podzbioru najczęściej spotykanych wirusów komputerowych, poddawanych
kwarantannie przez klientów korzystających z oprogramowania Symantec AntiVirus. SARA odbiera średnio
setki tysięcy podejrzanych plików dziennie od klientów instytucjonalnych i indywidualnych z całego świata.
Firma Symantec analizuje podejrzane pliki, dopasowując je do definicji wirusów. Analiza tego zbioru danych
pozwala uzyskać statystyki dotyczące udziału różnych typów destrukcyjnego kodu w ogólnej liczbie infekcji.
Baza danych o destrukcyjnym kodzie
Oprócz danych dotyczących infekcji, ośrodek Symantec Security Response analizuje i dokumentuje
atrybuty każdej nowej formy destrukcyjnego kodu, jaka pojawia się w otwartej sieci lub w tzw. „zoo”
(kontrolowanym środowisku laboratoryjnym). Opisy nowych form destrukcyjnego kodu są wprowadzane do
bazy danych w celu ich późniejszego wykorzystania. Na potrzeby niniejszego Raportu, przeprowadzono
również na tej bazie danych analizę tendencji historycznych. Pozwoliła ona ujawnić np. tendencje użycia
różnych dróg infekcji czy częstości występowania różnych rodzajów destrukcyjnego kodu.
W niektórych przypadkach produkty antywirusowe firmy Symantec mogą wstępnie wykryć nowy
destrukcyjny kod metodą heurystyczną bądź za pomocą sygnatur ogólnych. Taki kod może być potem
sklasyfikowany ponownie i wykryty jako inny specyficzny przypadek. Z tego względu mogą występować
niewielkie rozbieżności pomiędzy niektórymi wynikami analiz w poprzedniej i w obecnej edycji Raportu
firmy Symantec na temat bezpieczeństwa w Internecie.
101
Załącznik E – Metodyka badań dodatkowych zagrożeń dla bezpieczeństwa
Produkty firmy Symantec pozwalają użytkownikom nie tylko chronić dane przed zagrożeniami ze strony
wirusów, robaków i koni trojańskich, lecz także oceniać potencjalne zagrożenia dla bezpieczeństwa
spowodowane innymi programami. Oprogramowanie Symantec AntiVirus zalicza takie inne programy do
kategorii dodatkowych zagrożeń dla bezpieczeństwa. Obejmują one programy, które na podstawie kryteriów
funkcjonalnych można podzielić na oprogramowanie typu adware i programy szpiegujące. Firma Symantec
klasyfikuje je na podstawie szeregu cech charakterystycznych. Po sklasyfikowaniu, programy takie mogą
być wykrywane, a użytkownicy uzyskują możliwość ich zachowania lub usunięcia w zależności od
osobistych potrzeb i stosowanych zasad bezpieczeństwa.
Ogólne kryteria dodatkowych zagrożeń dla bezpieczeństwa
Program zaliczany do kategorii dodatkowych zagrożeń dla bezpieczeństwa jest to aplikacja lub kod
wykonywalny, który działa niezależnie bądź współdziała z innym oprogramowaniem oraz spełnia
następujące kryteria:
1) ze swojej natury nie jest wirusem;
2) zaprogramowana w nim funkcjonalność spełnia kryteria kwalifikujące go jako potencjalne zagrożenie dla
bezpieczeństwa;
3) został dostarczony do firmy Symantec w celu rozpoznania przez znaczną liczbę użytkowników
korporacyjnych lub indywidualnych w danym okresie (okres i liczba użytkowników mogą być różne
w zależności od kategorii bądź ryzyka).
Firma Symantec dodatkowo klasyfikuje programy na podstawie kryteriów funkcjonalnych związanych ze
skutkami wprowadzenia danego programu do systemu. Kryteria te obejmują skrytość, zagrożenie dla
prywatności, ograniczenie wydajności, potencjalne szkody i możliwości usunięcia.
Tendencje przedstawione w rozdziale „Dodatkowe zagrożenia dla bezpieczeństwa” są oparte na
prowadzonych przez firmę Symantec badaniach, zgłoszeniach klientów oraz danych zebranych z ponad
120 mln systemów (komputerów-klientów, serwerów i bram), w których są wdrożone produkty firmy
Symantec116, jak również na analizie filtracyjnej 25 mln wiadomości e-mail otrzymywanych codziennie przez
sieć Symantec Probe Network. Firma Symantec analizuje najczęściej występujące doniesienia oraz ustala,
które z nich rzeczywiście dotyczą oprogramowania typu adware i szpiegowskiego, a nie destrukcyjnego
kodu.
W niniejszej dyskusji omówiono oprogramowanie typu adware i szpiegowskie na podstawie pewnych
próbek, tj. indywidualnych przykładów takich programów. Jednak w niektórych przypadkach dana próbka
może występować w kilku wariantach. Wariant jest to nowa wersja należąca do tej samej rodziny,
wykazująca małe różnice, ale oparta na wersji oryginalnej. Dla celów niniejszego raportu wszystkie warianty
danej próbki są traktowane jako jedna próbka.
116
102
Systemy, na których zainstalowane są rozwiązania antywirusowe firmy Symantec.
Metodyka badań phishingu
Przedstawione w niniejszym Raporcie tendencje dotyczące ataków typu phishing są oparte na analizie
danych pochodzących z sieci Symantec Probe Network. Dane zebrane przez rozwiązanie Symantec
Brightmail AntiSpam są wykorzystywane do oceny wzrostu liczby prób phishingu oraz wyznaczenia odsetka
poczty internetowej uznanej za takie próby. Obejmują one statystyki przekazywane z systemów klientów
i zawierające informacje dotyczące zachowania filtrów przeciwdziałających oszustwom oraz informacje
o ogólnej ilości przetworzonej poczty elektronicznej.
Definicja ataku
Dane pochodzące z sieci Symantec Probe Network są używane do monitorowania wzrostu liczby nowych
ataków. Atak defraudacyjny jest to grupa wiadomości e-mail o zbliżonej treści, wysyłanych do
poszczególnych osób. Wiadomości te mają na celu wyłudzenie poufnych lub osobistych informacji od
użytkowników usług online. Dane zbierane w terenie przez produkt Symantec Brightmail AntiSpam służą do
rozpoznawania ogólnych tendencji w zakresie wiadomości e-mail o charakterze phishingu.
Poniższa tabela przedstawia ogólną charakterystykę metod stosowanych przez każdą z wymienionych usług.
Źródło danych
Symantec Probe Network
Symantec Probe Network działa ponad 2 mln sond o statystycznym zasięgu ponad 250
mln skrzynek pocztowych. Sieć ta zawiera wielką liczbę adresów e-mail (zarówno
dawnych adresów rzeczywistych użytkowników, jak i kont stworzonych specjalnie do
tego celu), które przyciągają „śmieciowe” wiadomości. W sieci Symantec Probe
Network uczestniczy ponad 600 przedsiębiorstw i operatorów Internetu. Obejmuje ona
swoim zasięgiem kraje obu Ameryk, Europy, Azji i Australii.
Symantec Brightmail
AntiSpam – dane zbierane
w terenie
Oprogramowanie Symantec Brightmail AntiSpam przekazuje dane statystyczne do
centrum BLOC (Brightmail Logistics and Operations Center). Dane te dotyczą
przetworzonych wiadomości, wiadomości odfiltrowanych oraz danych specyficznych dla
poszczególnych filtrów. Firma Symantec klasyfikuje różne filtry w taki sposób, by
statystyki dotyczące spamu i statystyki dotyczące phishingu mogły być wyznaczane
oddzielnie.
Tabela 12. Metody gromadzenia danych dotyczących phishingu
Objaśnienie zapytań używanych w badaniach
W niniejszym podrozdziale opisano dokładniej specyficzne metodyki uzyskiwania danych i statystyk
przedstawionych w niniejszym Raporcie. Chociaż metodyki te są w większości dostatecznie dobrze
objaśnione w części niniejszego Raportu poświęconej analizom, następujące badania wymagają bardziej
szczegółowego wyjaśnienia.
103
Wzrost częstotliwości phishingu
Firma Symantec utrzymuje automatyczne systemy, które rozpoznają nowe potencjalne ataki defraudacyjne
odbierane przez sieć Symantec Probe Network. Wiadomości są grupowane w ataki na podstawie
podobieństwa treści i nagłówków. Próbki wiadomości są następnie przetwarzane przez ogólny heurystyczny
mechanizm wykrywania oszustw, którego celem jest rozpoznawanie wiadomości stanowiących potencjalne
zagrożenie oszustwem. Centrum BLOC bada rozpoznane ataki w celu ich potwierdzenia i opracowania
odpowiednich filtrów. Dział inteligentnej analizy danych (Symantec Brightmail Business Intelligence) bada
ataki o charakterze phishingu w celu opracowania filtrów predykcyjnych (Symantec Brightmail
AntiSpam Heuristics).
Dane przedstawione w tym podrozdziale są oparte na łącznej liczbie nowych ataków typu phishing
(uznanych przez centrum BLOC) tygodniowo. BLOC zajmuje się tylko tymi atakami, które nie są blokowane
przez istniejące filtry antyspamowe i filtry przeciwdziałające oszustwom. Przez „istniejące filtry” rozumie się
filtry antyspamowe i filtry przeciwdziałające oszustwom używane przez klientów rozwiązania Symantec
Brightmail AntiSpam. Niektóre wiadomości o charakterze oszustwa są przechwytywane przez filtry
predykcyjne (heurystyczne), jednak nie wszyscy klienci firmy Symantec używają tej technologii bądź
uaktualnili produkt do wersji obsługującej ją. Dlatego wiadomości w dalszym ciągu są badane przez
centrum BLOC, które opracowuje filtry przeznaczone do szerszego wdrożenia.
Spam
Opisane w niniejszym Raporcie tendencje dotyczące spamu są oparte na analizie danych pochodzących
z sieci Symantec Probe Network. Ocena wzrostu ilości spamu opiera się na danych zebranych w terenie
przez rozwiązanie Symantec Brightmail AntiSpam. Dane te obejmują statystyki przekazywane z instalacji
u klientów, dotyczące skuteczności filtrów antyspamowych oraz ogólnej ilości przetwarzanej
poczty elektronicznej.
Próba klientów objętych badaniem
Ze względu na liczne zmienne czynniki wpływające na działania podejmowane przez przedsiębiorstwa
w związku ze spamem, dla celów rozpoznawania spamu i formułowania prognoz jego wzrostu firma
Symantec dzieli problemy tego rodzaju na kategorie w zależności od poziomu istotności problemu spamu
dla danego przedsiębiorstwa. Próba statystyczna klientów liczy 20 przedsiębiorstw i została wybrana
spośród przedsiębiorstw, w których ilość spamu w lipcu badanego okresu przekroczyła 75% całkowitej
ilości poczty elektronicznej. Wybrane przedsiębiorstwa otrzymały również w tym miesiącu najwięcej poczty
elektronicznej ogółem. Prezentowane dane stanowią sumaryczne liczby wiadomości w poszczególnych
tygodniach sześciomiesięcznego okresu badanego, agregowane dla wszystkich 20 przedsiębiorstw z próby.
Poniższa tabela przedstawia ogólną charakterystykę metod stosowanych przez każdą z wymienionych usług.
104
Źródło danych
Symantec Probe Network
Symantec Probe Network działa ponad 2 mln sond o statystycznym zasięgu ponad 250
mln skrzynek pocztowych. Sieć ta zawiera wielką liczbę adresów e-mail (zarówno
dawnych adresów rzeczywistych użytkowników, jak i kont stworzonych specjalnie do tego
celu), które przyciągają „śmieciowe” wiadomości. W sieci Symantec Probe Network
uczestniczy ponad 600 przedsiębiorstw i operatorów Internetu. Obejmuje ona swoim
zasięgiem kraje obu Ameryk, Europy, Azji i Australii.
Symantec Brightmail
Antispam – dane zebrane
w terenie
Oprogramowanie Symantec Brightmail AntiSpam przekazuje dane statystyczne do
centrum BLOC. Dane te dotyczą przetworzonych wiadomości, wiadomości odfiltrowanych
oraz danych specyficznych dla poszczególnych filtrów. Firma Symantec klasyfikuje różne
filtry w taki sposób, by statystyki dotyczące spamu i statystyki dotyczące phishingu mogły
być wyznaczane oddzielnie.
Tabela 13. Metody gromadzenia danych dotyczących spamu
105
WYŁĄCZENIE GWARANCJI. Informacje techniczne zawarte w niniejszym dokumencie są dostarczane
w takim stanie, w jakim się znajdują („as is”) i Symantec Corporation nie udziela żadnej gwarancji
dotyczącej ich dokładności czy przydatności. Jakiekolwiek użycie dokumentacji technicznej bądź informacji
zawartych w niniejszym dokumencie odbywa się na ryzyko użytkownika. Dokumentacja może zawierać
niedokładności techniczne i inne, jak również błędy typograficzne. Symantec zastrzega sobie prawo
wprowadzania zmian bez wcześniejszego powiadomienia.
Symantec, logo Symantec, Brightmail i DeepSight są zastrzeżonymi znakami towarowymi firmy Symantec
Corporation w Stanach Zjednoczonych. Brightmail AntiSpam, BugTraq, Digital Immune System, Symantec
AntiVirus, Symantec AntiVirus Research Automation (SARA), Symantec Managed Security Services
i Symantec Security Response są znakami towarowymi firmy Symantec Corporation. Microsoft, Windows
i Windows NT są zastrzeżonymi znakami towarowymi firmy Microsoft Corporation. Macintosh, Mac
i Mac OS są zastrzeżonymi znakami towarowymi firmy Apple Computer Inc. Linux jest zastrzeżonym
znakiem towarowym Linusa Torvaldsa. Pozostałe nazwy marek i produktów są znakami towarowymi
odpowiednich podmiotów. Copyright © 2005 Symantec Corporation. Wszelkie prawa zastrzeżone. Wszystkie
informacje techniczne udostępniane przez Symantec Corporation są dziełem firmy Symantec Corporation
chronionym prawem autorskim i są własnością firmy Symantec Corporation.
Informacje o firmie Symantec
Firma Symantec jest światowym
liderem w dziedzinie
bezpieczeństwa informacji,
dostarczającym szeroką gamę
oprogramowania, urządzeń i usług
zaprojektowanych w celu pomocy
użytkownikom indywidualnym,
małym i średnim firmom oraz
dużym przedsiębiorstwom
w zabezpieczaniu ich
infrastruktury informatycznej oraz
zarządzaniu nią. Należąca do
firmy Symantec marka Norton jest
światowym liderem w zakresie
zabezpieczeń i produktów do
rozwiązywania problemów
przeznaczonych dla klientów
indywidualnych. Firma Symantec,
z siedzibą w Cupertino
(Kalifornia), ma swoje oddziały
w ponad 35 krajach. Więcej
informacji można znaleźć pod
adresem www.symantec.pl.
Adresy i numery kontaktowe
poszczególnych oddziałów
krajowych można znaleźć
w naszym serwisie
internetowym. Informacje
o produktach można uzyskać
kontaktując się z polskim
biurem firmy Symantec lub
jednym z autoryzowanych
sprzedawców.
20330 Stevens Creek Blvd.
Cupertino, CA 95014
U.S.A.
1 408 517 8000
1 800 721 3934
www.symantec.com
Biuro w Polsce:
al. Jana Pawła II 29
00-867 Warszawa, Polska
tel. (22) 586 92 00
faks (22) 654 69 69
Copyright © 2005 Symantec Corporation. Wszelkie prawa
zastrzeżone. Wszystkie informacje techniczne udostępniane
przez Symantec Corporation są dziełem firmy Symantec
Corporation chronionym prawem autorskim i są własnością
firmy Symantec Corporation.

SYMANTEC ENTERPIRSE SECURITY Raport firmy Symantec na

Transkrypt

Podobne dokumenty

instrukcja instalacji produktów norton antivirus