SYMANTEC ENTERPIRSE SECURITY Raport firmy Symantec na
Transkrypt
SYMANTEC ENTERPIRSE SECURITY Raport firmy Symantec na
SYMANTEC ENTERPIRSE SECURITY Raport firmy Symantec na temat bezpieczeństwa w Internecie Tendencje w okresie lipiec-grudzień 2004 r. Wydanie VII, marzec 2005 r. Dean Turner Redaktor Prowadzący dział Symantec Security Response Stephen Entwisle Redaktor dział Symantec Security Response Oliver Friedrichs Doradca Techniczny dział Symantec Security Response David Ahmad Kierownik ds. Rozwoju dział Symantec Security Response Daniel Hanson Analityk Zagrożeń (System DeepSight) dział Symantec Security Response Marc Fossi Analityk Zagrożeń (System DeepSight) dział Symantec Security Response Sarah Gordon Starszy Pracownik Badawczy dział Symantec Security Response Peter Szor Architekt Zabezpieczeń dział Symantec Security Response Eric Chien Pracownik Badawczy ds. Zabezpieczeń dział Symantec Security Response David Cowings Sr. Business Intelligence Manager dział Symantec Business Intelligence Dylan Morss Główny Analityk ds. Inteligentnej Analizy Danych dział Symantec Business Intelligence Brad Bradley Starszy Analityk ds. Inteligentnej Analizy Danych dział Symantec Business Intelligence Wydanie VII, marzec 2005 r. Raport firmy Symantec na temat bezpieczeństwa w Internecie Spis treści Streszczenie dla kierownictwa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Tendencje dotyczące ataków . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Tendencje dotyczące luk w zabezpieczeniach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Tendencje dotyczące destrukcyjnego kodu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Dodatkowe zagrożenia dla bezpieczeństwa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 Spojrzenie w przyszłość . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 Załącznik A – Najlepsze procedury zalecane przez firmę Symantec . . . . . . . . . . . . . . . . . . . . . . . . 80 Załącznik B – Metodyka badań tendencji dotyczących ataków . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Załącznik C – Metodyka badań tendencji dotyczących luk w zabezpieczeniach . . . . . . . . . . . . . . . 87 Załącznik D – Metodyka badań tendencji dotyczących destrukcyjnego kodu . . . . . . . . . . . . . . . . . 91 Załącznik E – Metodyka badań dodatkowych zagrożeń bezpieczeństwa . . . . . . . . . . . . . . . . . . . . . 92 Raport firmy Symantec na temat bezpieczeństwa w Internecie Streszczenie dla kierownictwa Niniejszy Raport firmy Symantec na temat bezpieczeństwa w Internecie zawiera informacje o zagrożeniach internetowych za okres sześciu miesięcy. Obejmuje analizę ataków internetowych, przegląd znanych luk w zabezpieczeniach oraz omówienie najważniejszych rodzajów destrukcyjnego kodu i dodatkowych zagrożeń bezpieczeństwa. Niniejszy rozdział zawiera streszczenie Raportu oraz zwraca uwagę czytelnika na bieżące tendencje i nowe, nieuchronnie zbliżające się zagrożenia. Ponadto w rozdziale tym podajemy nasze zalecenia dotyczące ochrony przed sygnalizowanymi problemami i niwelowania ich skutków. Niniejsze VII wydanie Raportu obejmuje okres sześciomiesięczny od 1 lipca 2004 r. do 31 grudnia 2004 r. Firma Symantec stworzyła jedno z najpełniejszych na świecie źródeł danych o zagrożeniach w Internecie. Dane są zbierane przez ponad 20 tys. czujników zainstalowanych w przeszło 180 krajach w ramach systemu zarządzania zagrożeniami Symantec DeepSight™ Threat Management System oraz usług zarządzania ochroną Symantec Managed Security Services. Firma Symantec gromadzi ponadto dane na temat destrukcyjnego kodu, oprogramowania szpiegowskiego oraz typu adware z ponad 120 mln systemów klienckich i serwerowych oraz bram działających u użytkowników indywidualnych i w środowiskach korporacyjnych, w których wdrożono produkty antywirusowe firmy Symantec. Ponadto firma Symantec utrzymuje jedną z najbardziej kompleksowych na świecie baz danych na temat luk w zabezpieczeniach, która obejmuje ponad 11 tys. luk w zabezpieczeniach przeszło 20 tys. technologii dostarczanych przez ponad 2 tys. producentów. Firma Symantec prowadzi również serwis BugTraq™ – jedno z najpopularniejszych forów internetowych poświęconych ujawnianiu i omawianiu luk w zabezpieczeniach. Oprócz tego sieć Symantec Probe Network – system sond obejmujący ponad 2 mln kont-przynęt – zwabia wiadomości e-mail z ponad 20 krajów świata, umożliwiając nam monitorowanie globalnej aktywności w zakresie spamu (rozsyłania niechcianej poczty elektronicznej) i phishingu (oszustw polegających na wyłudzaniu poufnych danych). Wyżej wymienione zasoby stanowią dla analityków firmy Symantec znakomite źródła danych pozwalających na rozpoznawanie nowych tendencji w zakresie ataków i destrukcyjnego kodu. Niniejszy Raport firmy Symantec na temat bezpieczeństwa w Internecie opiera się głównie na fachowej analizie danych zebranych w wyżej omówiony sposób. Dzięki wiedzy i doświadczeniu firmy Symantec, analiza ta pozwala na sformułowanie przemyślanych i kompetentnych uwag na temat aktualnego stanu zagrożeń internetowych. Firma Symantec ma nadzieję, że analizy zagrożeń internetowych przedstawione w niniejszym Raporcie pomogą społeczności zainteresowanej bezpieczeństwem systemów komputerowych efektywniej zabezpieczać swoje systemy, zarówno dzisiaj jak i w przyszłości. Phishing – narastające zagrożenie W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie wskazaliśmy na phishing jako nowe zagrożenie dla bezpieczeństwa1. Phishing jest to próba wyłudzenia przez nieupoważnioną osobę informacji od osoby, grupy przedsiębiorstwa lub instytucji, często w celu uzyskania nielegalnych korzyści finansowych bądź w innych oszukańczych celach. Próby takie są często przeprowadzane za pośrednictwem przeglądarki WWW i wykorzystują socjotechniki. Phishing stanowi poważne zagrożenie nie tylko dla użytkowników indywidualnych, lecz także dla przedsiębiorstw handlu elektronicznego, instytucji finansowych oraz innych firm i instytucji 1 4 Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 44: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 Raport firmy Symantec na temat bezpieczeństwa w Internecie przeprowadzających transakcje za pośrednictwem Internetu. Hakerzy stosujący phishing często fałszują adresy źródłowe poczty elektronicznej oraz wykorzystują fałszywe witryny WWW i konie trojańskie dostarczane skrycie za pośrednictwem przeglądarki WWW w celu wprowadzenia użytkownika w błąd i nakłonienia go do ujawnienia poufnych informacji, takich jak numery kart kredytowych, dane pozwalające na przeprowadzanie transakcji bankowych online czy inne tego rodzaju informacje. Jeśli użytkownicy indywidualni stracą zaufanie do transakcji przeprowadzanych za pośrednictwem Internetu, przedsiębiorstwa i instytucje opierające swoją działalność na takich transakcjach poniosą poważne straty finansowe. Świadectwem nasilenia się tych zagrożeń jest wzrost liczby zablokowanych prób phishingu. W połowie lipca 2004 r. filtry przeciwdziałające oszustwom Symantec Brightmail AntiSpam™ blokowały 9 mln prób phishingu tygodniowo. Do końca grudnia liczba ta wzrosła do średnio ponad 33 mln zablokowanych wiadomości tygodniowo. Firma Symantec przewiduje, że w następnym roku phishing będzie w dalszym ciągu poważnym zagrożeniem. Obrona systemów przed atakami typu phishing jest trudna. W miarę jak rośnie zaawansowanie technik fałszowania poczty elektronicznej i witryn internetowych, coraz trudniej jest odróżniać legalne wiadomości i witryny od fałszywych. Firma Symantec zaleca, aby oprócz stosowania najlepszych procedur postępowania, przedsiębiorstwa i instytucje zadbały o ogólną edukację użytkowników w zakresie phishingu, a w szczególności aby informowały ich o nowych oszustwach tego rodzaju2. Ponadto firma Symantec radzi użytkownikom, aby nigdy nie ujawniali informacji osobistych czy finansowych w przypadku najmniejszych wątpliwości co do autentyczności jakiejkolwiek wiadomości e-mail lub witryny WWW. Wzrost zagrożeń dla bezpieczeństwa aplikacji internetowych W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie zauważyliśmy wzrost liczby luk w zabezpieczeniach aplikacji internetowych3. Sytuacja ta wzmaga obawy, że hakerzy będą w najbliższej przyszłości coraz częściej atakować aplikacje internetowe. Jak się wydaje, obawy te doprowadziły do podjęcia w minionym półroczu szeregu działań na rzecz wzmocnienia bezpieczeństwa. Aplikacje internetowe są to technologie, które w charakterze interfejsu użytkownika wykorzystują przeglądarkę i często są udostępniane z serwerów WWW w trybie hostingu. Zapewniają one użytkownikom wygodną metodę współużytkowania, tworzenia lub modyfikowania treści przy użyciu przeglądarki internetowej. Ataki na aplikacje internetowe są szczególnie niepokojące, ponieważ mogą udostępnić informacje publicznie przez Internet. Pozwalają atakującym dostać się do poufnych informacji z bazy danych bez łamania zabezpieczeń żadnego serwera. Umożliwiają również obejście tradycyjnych środków ochrony brzegów sieci, takich jak zapory ogniowe. Ataki takie są szczególnie niebezpieczne, ponieważ mogą zainfekować całą sieć po uzyskaniu dostępu do pojedynczego systemu. Typowe luki w zabezpieczeniach aplikacji internetowych wykorzystywane przez atakujących to błędy kontroli danych wejściowych i niewłaściwa obsługa przysyłanych żądań. Umożliwia to atakującym wykonanie destrukcyjnego kodu na atakowanej maszynie. Na przykład w grudniu 2004 r. został wykryty robak, określany jako Perl.Santy4, który atakuje popularną aplikację internetową phpBB. 3 4 Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 30: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html 5 Raport firmy Symantec na temat bezpieczeństwa w Internecie Udokumentowane luki w zabezpieczeniach 800 670 600 491 369 400 200 0 lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 1. Wzrost liczby luk w zabezpieczeniach aplikacji internetowych w okresie 18 miesięcy Źródło: Symantec Corporation W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec skatalogowała 670 luk w zabezpieczeniach aplikacji internetowych, co stanowi prawie połowę (48%) wszystkich luk wykrytych w tym okresie (patrz rys. 1). Wskaźnik ten jest znacznie wyższy niż w pierwszym półroczu 2004 r., gdy wyniósł 39%. Oznacza to, że najprawdopodobniej w najbliższej przyszłości aplikacje internetowe nadal będą celem ataków. Firma Symantec zaleca, aby administratorzy ds. ochrony stosowali się do najlepszych procedur postępowania opisanych w Załączniku A do niniejszego Raportu. Powinni także stale kontrolować aplikacje internetowe pod kątem ewentualnych luk w zabezpieczeniach oraz jak najszybciej instalować programy korygujące. Oprócz tego powinni oni dogłębnie przeanalizować zasady wdrażania i używania aplikacji internetowych oraz ograniczyć wdrożenia tylko do takich aplikacji, które są absolutnie niezbędne w działalności danego przedsiębiorstwa lub instytucji. Wzrost liczby i stopnia istotności luk w zabezpieczeniach W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała 1403 nowe luki w zabezpieczeniach. Stanowi to wzrost o 13% w stosunku do 1237 luk wykrytych w pierwszym półroczu 2004 r. Wzrost ten oznacza, że badanie luk w zabezpieczeniach staje się popularnym rodzajem działalności oraz że przedsiębiorstwa powinny być stale informowane o najnowszych lukach, które mogą mieć wpływ na ich środowiska. Prawie 97% wszystkich luk w zabezpieczeniach zgłoszonych w drugim półroczu 2004 r. zostało zakwalifikowanych do umiarkowanego lub wysokiego poziomu istotności (co oznacza możliwość 6 Raport firmy Symantec na temat bezpieczeństwa w Internecie częściowego lub całkowitego opanowania systemu). Ponadto, ponad 70% wszystkich zgłoszonych luk w zabezpieczeniach zostało zakwalifikowanych jako łatwe do wykorzystania (co oznacza, że do ich wykorzystania nie jest potrzebny specjalny kod albo że kod taki jest łatwo dostępny). Problem ten jest dodatkowo spotęgowany faktem, że prawie 80% wszystkich udokumentowanych w badanym okresie luk w zabezpieczeniach to luki możliwe do wykorzystania zdalnie, co zwiększa liczbę potencjalnych hakerów, którzy mogliby je wykorzystać. Firma Symantec zaleca, aby poza stosowaniem najlepszych procedur postępowania, przedsiębiorstwa w dalszym ciągu monitorowały swoje systemy pod kątem ewentualnych luk w zabezpieczeniach oraz jak najszybciej instalowały programy korygujące. Ponadto firma Symantec zaleca, aby przedsiębiorstwa rozważyły subskrypcję usługi powiadamiania o lukach w zabezpieczeniach, która zapewni szybkie informowanie o takich lukach. Destrukcyjny kod i narażenie informacji poufnych na ujawnienie Niektóre rodzaje destrukcyjnego kodu są tworzone w celu kradzieży informacji poufnych z opanowanego systemu komputerowego. Niebezpieczeństwo ujawnienia informacji wiąże się z prawie wszystkimi rodzajami destrukcyjnego kodu, w tym z końmi trojańskimi, robakami, wirusami i programami typu „tylne wejście” do serwera. Po zainfekowaniu komputera przez kod destrukcyjny, atakujący może uzyskać dostęp do takich informacji, jak adresy e-mail, przechowywane w pamięci podręcznej dane umożliwiające zalogowanie, informacje poufne czy informacje finansowe, a także może takie informacje ujawnić bądź zmodyfikować. W ciągu trzech ostatnich badanych okresów półrocznych liczba zagrożeń, w których istnieje możliwość ujawnienia informacji poufnych, stale rosła. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. zagrożenia tego rodzaju stanowiły 54% spośród 50 najczęściej otrzymywanych przez firmę Symantec próbek destrukcyjnego kodu, podczas gdy w pierwszym półroczu 2004 r. wskaźnik ten wyniósł 44%, a w drugim półroczu 2003 – 36%. Oznacza to wzrost o 23% w stosunku do okresu poprzedniego oraz o 50% w stosunku do analogicznego okresu poprzedniego roku (patrz rys. 2). Nasilenie zagrożeń związanych z narażeniem informacji wiąże się częściowo z obecnością oprogramowania typu bot i sieci komputerów nim zainfekowanych5, które dzięki funkcjom zdalnego dostępu mogą ujawniać informacje poufne ze Udział procentowy wśród 50 najczęściej zgłaszanych zagrożeń złamanych systemów komputerowych. 60% 54% 50% 44% 40% 36% 30% 20% 10% 0% lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 2. Zagrożenia dla informacji poufnych ze strony destrukcyjnego kodu Źródło: Symantec 5 Boty (skrót od słowa „robot”) to programy instalowane podstępnie w maszynie użytkownika, które pozwalają nieautoryzowanym użytkownikom na zdalny dostęp do 7 Raport firmy Symantec na temat bezpieczeństwa w Internecie Konie trojańskie są w dalszym ciągu szczególnym zagrożeniem dla informacji poufnych. Stanowią one 33% spośród 50 próbek destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. Oznacza to poważny wzrost w stosunku do pierwszej połowy tego roku, gdy konie trojańskie stanowiły 17% spośród 50 najczęściej zgłaszanych próbek. Nasilenie zgłoszeń koni trojańskich może być częściowo związane ze wzrostem liczby przypadków wykorzystania luk w zabezpieczeniach przeglądarek internetowych po stronie klienta6. Koń trojański może być utrzymywany na witrynie WWW hakera, która podejmuje próbę wykorzystania specyficznej luki w zabezpieczeniach przeglądarki WWW w celu dostarczenia kodu destrukcyjnego do atakowanego systemu. Użytkownicy mogą zabezpieczyć się przed takimi zagrożeniami nigdy nie uruchamiając nieznanych aplikacji, zwłaszcza otrzymanych pocztą elektroniczną bądź pobranych ze źródła, którego wiarygodność nie jest pewna. Powinni oni także unikać logowania się do kont poczty elektronicznej opartej na WWW i do witryn bankowych z publicznych terminali komputerowych, gdyż nie można zweryfikować integralności takich systemów. Oprócz tego użytkownicy nie powinni używać tego samego hasła do uwierzytelniania się w różnych aplikacjach, gdyż wówczas złamanie jednego hasła umożliwia hakerowi uzyskanie dostępu do kilku źródeł poufnych danych. Ochronie przed złamaniem hasła sprzyja częsta zmiana haseł. Ponadto firma Symantec zaleca użytkownikom, aby wyłączyli w przeglądarce WWW buforowanie danych (identyfikatora i hasła) umożliwiających logowanie się do witryn internetowych. Luki w zabezpieczeniach nowych przeglądarek W przeszłości celem większości ataków wykorzystujących luki w zabezpieczeniach przeglądarek internetowych był Microsoft® Internet Explorer, który jest najpopularniejszą przeglądarką. W związku z tym wielu użytkowników Internetu zwróciło się w stronę innych przeglądarek, takich jak Mozilla, Mozilla Firefox, Opera i Safari, uznając je za bardziej bezpieczne. Jednak w miarę jak użytkownicy zwracający uwagę na bezpieczeństwo odchodzili od przeglądarki Internet Explorer, hakerzy podążali ich śladem. W wyniku tego zmieniła się generalna sytuacja w dziedzinie przeglądarek i stosownie do tego niniejszy Raport firmy Symantec na temat bezpieczeństwa w Internecie zawiera analizę luk w zabezpieczeniach różnych przeglądarek. Liczba wykrywanych luk w zabezpieczeniach różnych przeglądarek wykazuje tendencję wzrostową (patrz rys. 3). W badanym okresie udokumentowano więcej luk w zabezpieczeniach przeglądarki Mozilla niż przeglądarki Microsoft Internet Explorer. Nastąpiło zatem odwrócenie tendencji występującej w poprzednich okresach, gdy prawie wszystkie luki w zabezpieczeniach przeglądarek dotyczyły wyłącznie przeglądarki firmy Microsoft. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała 13 nowych luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer. Jest to liczba zdecydowanie niższa niż 21 luk w zabezpieczeniach każdej z przeglądarek Mozilla, wykrytych i udokumentowanych w tym okresie. W przeglądarce Opera wykryto 6 luk w zabezpieczeniach, a w przeglądarce Safari – ani jednej. Chociaż udział przeglądarek Mozilla w liczbie wszystkich wykrytych w badanym okresie luk wzrósł, w przeglądarce Microsoft Internet Explorer występuje w dalszym ciągu więcej luk zakwalifikowanych do wysokiego poziomu istotności. Spośród 13 luk w zabezpieczeniach tej przeglądarki udokumentowanych przez firmę Symantec w badanym okresie, 9 zaliczono do wysokiego poziomu istotności. Natomiast spośród komputera. Umożliwiają zdalną kontrolę nad komputerem za pomocą kanałów komunikacyjnych, takich jak IRC. Kanały komunikacyjne używane są przez atakującego do kontroli dużej liczbyrozproszonych komputerów przez jeden, niezawodny kanał w sieci komputerów zainfekowanych oprogramowaniem typu bot. Sieć taka może zostać użyta do uruchomienia skoordynowanych ataków. 6 Luki w zabezpieczeniach po stronie klienta umożliwiają atakowanie systemów użytkowników indywidualnych (w odróżnieniu od serwerów przedsiębiorstw lub instytucji). Obiektem ataku są takie aplikacje, jak przeglądarki WWW, klienty poczty elektronicznej, sieci równorzędne (peer-to-peer), klienty natychmiastowego przesyłania wiadomości (komunikatory internetowe) oraz odtwarzacze multimedialne. Luki takie często, choć nie zawsze, są skutkiem błędów logicznych lub wad systemów kontroli dostępu. Są one, zwłaszcza w przypadku przeglądarek, zazwyczaj łatwe do wykorzystania. 8 Raport firmy Symantec na temat bezpieczeństwa w Internecie 21 luk w zabezpieczeniach przeglądarki Mozilla, do wysokiego poziomu istotności zakwalifikowano 11, a w przypadku przeglądarki Firefox – tylko 7. Chociaż wiarygodnych ataków na przeglądarki Mozilla, Mozilla Firefox, Opera i Safari w warunkach rzeczywistej eksploatacji było niewiele (o ile w ogóle jakieś były), dopiero przyszłość pokaże, czy przeglądarki te spełnią oczekiwania wielu użytkowników. 25 Udokumentowane luki w zabezpieczeniach Mozilla Firefox Mozilla Browser Microsoft Internet Explorer Apple Safari Opera 20 15 10 5 0 styczeń-czerwiec 2003 r. lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 3. Luki w zabezpieczeniach przeglądarek udokumentowane w okresie od lipca 2003 r. do grudnia 2004 r. Źródło: Symantec Corporation Powyższe dane wskazują również, że być może zmienia się obszar zainteresowania badaczy. Przedsiębiorstwa, instytucje i użytkownicy indywidualni starają się szybko znaleźć bezpieczniejsze rozwiązania alternatywne wobec przeglądarki Microsoft Internet Explorer, ale powinni przy ich wyborze zachować ostrożność, gdyż – jak się wydaje – problem luk w zabezpieczeniach może dotyczyć wszystkich przeglądarek. Firma Symantec zaleca, by administratorzy ds. ochrony w przedsiębiorstwach oraz użytkownicy indywidualni poświęcili dostateczną ilość czasu na zbadanie innych przeglądarek i ocenili ich poziom bezpieczeństwa przed wdrożeniem. Ponadto administratorzy powinni subskrybować usługę powiadamiania o lukach w zabezpieczeniach oraz niezwłocznie instalować niezbędne programy korygujące we wszystkich systemach przedsiębiorstwa. Wielka Brytania – kraj o największym na świecie udziale komputerów zainfekowanych oprogramowaniem typu bot Przygotowując niniejszą edycję Raportu firmy Symantec na temat bezpieczeństwa w Internecie, zbadaliśmy rozkład komputerów zainfekowanych oprogramowaniem typu bot w całym Internecie. W tym celu firma Symantec policzyła liczbę znanych komputerów zainfekowanych takim oprogramowaniem na świecie oraz 9 Raport firmy Symantec na temat bezpieczeństwa w Internecie obliczyła, jaki odsetek z nich znajduje się w poszczególnych krajach. Zidentyfikowanie komputerów zainfekowanych oprogramowaniem typu bot ma duże znaczenie, gdyż wysoki wskaźnik zainfekowanych maszyn może oznaczać większe prawdopodobieństwo wystąpienia ataków z użyciem takiego oprogramowania. Ponadto wskaźnik ten sygnalizuje stopień instalowania programów korygujących oraz poziom świadomości użytkowników komputerów w danym regionie. 25,2% komputerów zainfekowanych oprogramowaniem typu bot wykrytych w drugim półroczu 2004 r. było zlokalizowanych w Wielkiej Brytanii, co stawia ten kraj na pierwszym miejscu w rankingu. Według obserwacji poczynionych przez firmę Symantec, oprogramowanie typu bot zwykle infekuje komputery podłączone do Internetu przez łącze szybkie (szerokopasmowe). Jednym z czynników, które prawdopodobnie wpłynęły na wzrost liczby komputerów zainfekowanych przez takie oprogramowanie w Wielkiej Brytanii, jest mający tam miejsce szybki rozwój łączy szerokopasmowych7. Firma Symantec przypuszcza, że nowi użytkownicy łączy szerokopasmowych mogą nie zdawać sobie sprawy z dodatkowych środków bezpieczeństwa, jakie powinni wdrożyć w związku z używaniem szybkich, stałych łączy internetowych. Oprócz tego pojawienie się wielu nowych użytkowników, co pociąga za sobą rozwój infrastruktury i wzrost kosztów pomocy technicznej, może opóźnić reakcje operatorów Internetu na zgłoszenia dotyczące nadużyć i infekcji. Firma Symantec zaleca, by przedsiębiorstwa i instytucje wdrażały dogłębną obronę8, obejmującą zapory ogniowe i odpowiednie filtrowanie na brzegach sieci. Ponadto administratorzy powinni subskrybować usługę powiadamiania o lukach w zabezpieczeniach oraz niezwłocznie instalować niezbędne programy korygujące we wszystkich systemach przedsiębiorstwa. Użytkownicy indywidualni powinni bezwzględnie mieć wdrożone oprogramowanie antywirusowe i zaporę ogniową. Ponadto trzeba regularnie aktualizować definicje wirusów. Dalszy wzrost liczby wirusów i robaków na platformę Win32 Zagrożenia na platformę Win32 to programy wykonywalne działające z wykorzystaniem interfejsu programowania (API) Win32, który stanowi podstawę opracowywania oprogramowania na systemy operacyjne Microsoft Windows®. Ze względu na szerokie rozpowszechnienie systemów operacyjnych Microsoft Windows w środowiskach przedsiębiorstw i użytkowników indywidualnych, wirusy i robaki na platformę Win32 stanowią poważne zagrożenie dla bezpieczeństwa oraz integralności takich środowisk. Zaniedbania w zakresie zapobiegania takim zagrożeniom, ich wykrywania i usuwania mogą prowadzić do poważnych konsekwencji finansowych, ujawnienia poufnych informacji oraz utraty danych. W 2004 r. liczba wariantów wirusów i robaków na platformę Win32 (patrz rys. 4)9 znacznie wzrosła. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała ponad 7360 nowych wirusów i robaków na platformę Win32. Stanowi to wzrost o 64% w stosunku do pierwszego półrocza tego roku, gdy liczba zgłoszonych wirusów i robaków wyniosła 4496, oraz o 332% w stosunku do drugiego półrocza 2003 r., gdy liczba ta wyniosła 1702. W dniu 31 grudnia 2004 r. łączna liczba wariantów na platformę Win32 była bliska 17 500. Obecnie liczba zagrożeń tej kategorii jest większa niż łączna liczba zagrożeń opartych na technikach wykorzystujących skrypty i makra. 7 http://news.bbc.co.uk/1/hi/technology/4065047.stm 8 9 10 Dogłębna obrona (defense in depth) to podejście do ochrony, przy którym każdy system w sieci jest zabezpieczony w największym możliwym stopniu. Obejmuje wdrożenie systemów antywirusowych, zapór ogniowych i systemów wykrywania włamań. W niektórych przypadkach rodzina kodu destrukcyjnego, np. Mydoom czy Netsky, może obejmować kilka wariantów. Wariant jest to nowa wersja kodu z tej samej rodziny, wykazująca pewne różnice, ale w dalszym ciągu oparta na wersji oryginalnej. W niniejszym Raporcie warianty danej rodziny są liczone jako oddzielne próbki, gdyż różnią się funkcjonalnością. Raport firmy Symantec na temat bezpieczeństwa w Internecie Łączna liczba wirusów i robaków 8,000 7,360 6,000 4,496 4,000 1,702 2,000 994 445 687 0 I–VI 2002 r. VII–XII 2002 r. I–VI 2003 r. VII–XII 2003 r. I–VI 2004 VII–XII 2004 Okres Rys. 4. Nowe wirusy i robaki na platformę Win 32 w poszczególnych półroczach lat 2002-2004 Źródło: Symantec Corporation Utrzymująca się tendencja wzrostu liczby wariantów destrukcyjnego kodu na platformę Win32 wskazuje, że pomimo szybkiego reagowania na tego typu zagrożenia, autorzy destrukcyjnego kodu w dalszym ciągu publikują nowe mutacje, niekiedy w tempie kilku dziennie. Firma Symantec zaleca, aby administratorzy ds. zabezpieczeń i użytkownicy często aktualizowali swoje rozwiązania antywirusowe oraz stale przestrzegali zalecane najlepsze procedury postępowania. Usługi finansowe – sektor, który otrzymuje największy odsetek poważnych ataków W ramach analizy ataków internetowych firma Symantec porównuje poszczególne branże, biorąc pod uwagę udział poważnych (o wysokim poziomie istotności) zdarzeń spowodowanych przez zewnętrznych hakerów, wykrytych przez czujniki zainstalowane w systemach danej branży. Firma Symantec określa stopień istotności ataku na podstawie charakterystyki ataku, środków obronnych podjętych przez klienta, wartości zagrożonych zasobów oraz stopnia powodzenia ataku. Ataki o wysokim poziomie istotności stanowią największe zagrożenie dla przedsiębiorstw i instytucji, gdyż mogą spowodować wielkie szkody oraz złamać zabezpieczenia zaatakowanej sieci. Z tego względu wskaźnik ataków tego poziomu może być miarą ryzyka, na jakie narażona jest dana branża. W drugim półroczu 2004 r. na przedsiębiorstwa i instytucje z sektora usług finansowych skierowano najwięcej w porównaniu z pozostałymi branżami ataków o wysokim poziomie istotności – 16 na 10 tys. zdarzeń związanych z bezpieczeństwem. Sektor ten jest atrakcyjnym celem dla hakerów, gdyż zdarzenia w nim przyciągają uwagę opinii publicznej jako mające związek z transakcjami finansowymi. Jest oczywiste, że instytucje finansowe muszą podejmować odpowiednie środki w celu rozpoznania i niwelowania ryzyka takich ataków. 11 Raport firmy Symantec na temat bezpieczeństwa w Internecie Ze względu na poufny charakter danych w sektorze usług finansowych, firma Symantec zaleca, aby administratorzy ds. ochrony stale kontrolowali swoje sieci pod kątem luk w zabezpieczeniach oraz jak najszybciej instalowali programy korygujące. Administratorzy ds. ochrony powinni także ograniczyć dostęp do tylko tych usług, które są absolutnie niezbędne, oraz egzekwować surowe zasady i procedury kontroli połączeń. Główne obserwacje Raportu firmy Symantec na temat bezpieczeństwa w Internecie Tendencje dotyczące luk w zabezpieczeniach Tendencje dotyczące ataków • Czas upływający od ujawnienia luki • Przez trzeci badany okres z rzędu w zabezpieczeniach do opublikowania najpowszechniejszym atakiem był Microsoft SQL wykorzystującego ją destrukcyjnego kodu Server Resolution Service Stack Overflow Attack wydłużył się z 5,8 doby do 6,4 doby. (poprzednio określany jako Slammer Attack). • Firma Symantec udokumentowała 1403 nowych luk w zabezpieczeniach, co oznacza wzrost Został on użyty przez 22% atakujących. • Przedsiębiorstwa i instytucje były atakowane o 13% w stosunku do poprzedniego okresu średnio 13,6 raza na dobę, co oznacza wzrost sześciomiesięcznego. w stosunku do poprzedniego okresu • Luki w zabezpieczeniach aplikacji internetowych stanowią 48% wszystkich ujawnionych luk, co sześciomiesięcznego, gdy liczba ta wyniosła 10,6 raza na dobę. oznacza wzrost w porównaniu z 39% luk • Liczba znanych komputerów zainfekowanych wykrytych w pierwszym półroczu 2004 r. oprogramowaniem typu bot spadła ze średnio 30 tys. dziennie pod koniec lipca do mniej niż • 97% ujawnionych luk w zabezpieczeniach 5 tys. dziennie pod koniec roku. zostało zakwalifikowanych do umiarkowanego lub wysokiego poziomu istotności. • Wielka Brytania jest krajem, w którym występuje największy odsetek komputerów zainfekowanych • W drugim półroczu 2004 r. ujawniono 21 luk oprogramowaniem typu bot. w zabezpieczeniach przeglądarek Mozilla, a tylko 13 luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer. • Stany Zjednoczone w dalszym ciągu są krajem, z którego pochodzi najwięcej ataków. Na kolejnych miejscach tego rankingu są Chiny • 70% zgłoszonych luk w zabezpieczeniach i Niemcy. zostało uznanych za łatwe do wykorzystania. • W sektorze usług finansowych wskaźnik zdarzeń o wysokim stopniu istotności był najwyższy ze wszystkich branż i wyniósł 16 na 10 tys. 12 Raport firmy Symantec na temat bezpieczeństwa w Internecie Tendencje dotyczące destrukcyjnego kodu Dodatkowe zagrożenia dla bezpieczeństwa • W drugim półroczu 2004 r. wśród dziesięciu • W drugim półroczu 2004 r. programy typu najczęściej zgłaszanych próbek destrukcyjnego adware stanowiły 5% spośród 50 najczęściej kodu najwięcej było wariantów programów zgłaszanych przez klientów firmy Symantec, Netsky, MyDoom i Beagle. podczas gdy w poprzednim badanym okresie • Firma Symantec udokumentowała ponad 7360 nowych wirusów i robaków na platformę Win32, wskaźnik ten wyniósł 4%. • Pięć spośród dziesięciu najczęściej co stanowi wzrost o 64% w stosunku do otrzymywanych próbek programów typu adware pierwszego półrocza tego roku. było instalowanych za pośrednictwem • Programy destrukcyjne, które groziły ujawnieniem informacji poufnych, stanowiły 54% spośród 50 najczęściej zgłaszanych próbek destrukcyjnego kodu, co oznacza wzrost w stosunku do poprzedniego badanego okresu, gdy wskaźnik ten wyniósł 44%. przeglądarki WWW. Dziewięć spośród dziesięciu najczęściej zgłaszanych programów szpiegowskich było włączonych do innego oprogramowania. • Najczęściej zgłaszanym w drugim półroczu 2004 r. programem typu adware był Iefeats, którego udział wśród dziesięciu najczęściej • Pod koniec badanego okresu znanych było 21 zgłaszanych programów tego typu wyniósł 36%. próbek destrukcyjnego kodu atakujących aplikacje mobilne, podczas gdy w czerwcu 2004 r. znano tylko jeden taki kod. • Najczęściej zgłaszanym w drugim półroczu 2004 r. programem szpiegowskim był Webhancer, którego udział wśród dziesięciu • W rankingu dziesięciu najczęstszych próbek destrukcyjnego kodu wystąpiły dwa przykłady najczęściej zgłaszanych programów tego typu wyniósł 38%. oprogramowania typu bot, podczas gdy w poprzednim badanym okresie wystąpił tylko jeden. • W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec wykryła 10 310 nowych ataków typu phishing. • Zgłoszono 4300 nowych wariantów programu Spybot, co oznacza wzrost o 180% w stosunku do poprzedniego okresu sześciomiesięcznego. • Pod koniec grudnia 2004 r. filtry przeciwdziałające oszustwom firmy Symantec blokowały średnio ponad 33 mln prób phishingu tygodniowo, podczas gdy na początku lipca liczba ta wynosiła ok. 9 mln tygodniowo. • Firma Symantec stwierdziła 77-procentowy wzrost ilości spamu w przedsiębiorstwach, których systemy były monitorowane pod tym kątem. 13 Raport firmy Symantec na temat bezpieczeństwa w Internecie Tendencje dotyczące ataków Niniejszy rozdział Raportu firmy Symantec na temat bezpieczeństwa w Internecie zawiera analizę ataków internetowych w okresie od 1 lipca do 31 grudnia 2004 r. „Atak” może być zdefiniowany jako dowolna działalność o charakterze destrukcyjnym przeprowadzana za pośrednictwem sieci, wykryta przez system wykrywania włamań lub zaporę ogniową. Atak zazwyczaj jest próbą wykorzystania luki w zabezpieczeniach oprogramowania bądź sprzętu. Aktywność ataków w badanym okresie zostanie porównana z dwoma poprzednimi okresami, opisanymi we wcześniejszych wydaniach Raportu firmy Symantec na temat bezpieczeństwa w Internecie10. W przypadkach, których to dotyczy, podajemy zalecenia dotyczące niwelowania zagrożeń ze strony ataków, w szczególności powołując się na najlepsze procedury postępowania firmy Symantec zawarte w Załączniku A do niniejszego Raportu. Firma Symantec stworzyła jedno z najpełniejszych na świecie źródeł danych o atakach internetowych. Dane są zbierane przez ponad 20 tys. czujników zainstalowanych w przeszło 180 krajach w ramach systemu zarządzania zagrożeniami Symantec DeepSight™ Threat Management System oraz usług zarządzania ochroną Symantec Managed Security Services. Oprócz tych źródeł, firma Symantec opracowała i wdrożyła system honeypot11, który służy do rozpoznawania, obserwowania oraz badania pełnego przebiegu ataków, zarówno z użyciem robaków jak i innych. Dostarcza on jakościowe dane na temat niektórych rodzajów ataków omówionych w niniejszym rozdziale. Wszystkie te zasoby łącznie dają firmie Symantec znakomite możliwości rozpoznawania pojawiających się ataków, badania ich oraz reagowania na nie. Poniższe omówienie opiera się na danych dostarczonych przez wszystkie te źródła. Dla celów niniejszego Raportu zdarzenia o charakterze ataków zostały podzielone na trzy kategorie: rekonesanse (sondowanie), ataki z użyciem robaków oraz ataki bez użycia robaków (wykorzystanie luk w zabezpieczeniach). Taka klasyfikacja pozwala analitykom firmy Symantec na rozróżnienie pomiędzy atakami rozprzestrzeniającymi się samodzielnie (robaki), atakami przeprowadzanymi ręcznie (bez użycia robaków) oraz atakami mającymi na celu pozyskanie informacji. W niektórych przypadkach trudno jest jednak stwierdzić, czy zdarzenie o charakterze ataku jest związane z użyciem robaka. W takich przypadkach ataki, które zazwyczaj wiążą się z użyciem robaków, są zaliczane do kategorii robaków. Ponadto dla celów niniejszego Raportu przyjęto, że użycie tylnych wejść i oprogramowania do zdalnego dostępu w celu tworzenia sieci komputerów-zombie (sieci komputerów zainfekowanych oprogramowaniem typu bot) również jest klasyfikowane jako atak z użyciem robaków. Urządzenia ochronne mogą monitorować ataki i inne podejrzane operacje na wielu różnych poziomach sieci. Urządzenia takie jak systemy wykrywania włamań i ochrony przed włamaniami, zapory ogniowe, filtry proxy oraz instalacje antywirusowe zwiększają ogólne bezpieczeństwo przedsiębiorstwa lub instytucji. Symantec gromadzi dane z wielu spośród takich urządzeń. Jedną z konsekwencji takiego gromadzenia danych z wielu źródeł jest to, że dane o destrukcyjnym kodzie i dane o tendencjach w zakresie ataków często dotyczą tych samych zagrożeń, ale widzianych w innym aspekcie. Na przykład dane o tendencjach w zakresie ataków prowadzą do powstania rankingu opartego na liczbie zainfekowanych systemów, z których podejmowane są próby ataków, natomiast dane o destrukcyjnym kodzie są oparte na szeregu różnych źródeł, w tym doniesieniach o infekcjach. Powoduje to, że w poszczególnych rozdziałach niniejszego Raportu, tj. „Tendencje dotyczące ataków” i „Tendencje dotyczące destrukcyjnego kodu”, rankingi zagrożeń są różne. 10 11 14 Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. V (marzec 2004 r.) i VI (wrzesień 2004 r.) – oba raporty dostępne są pod adresem http://enterprisesecurity.symantec.com/content.cfm?articleid=1539. Honeypot (dosł. garnek miodu) to system podłączony do Internetu jako przynęta. Umożliwia on hakerom dostanie się do systemu w celu zaobserwowania ich poczynań. Raport firmy Symantec na temat bezpieczeństwa w Internecie W niniejszym rozdziale Raportu firmy Symantec na temat bezpieczeństwa w Internecie zostaną omówione następujące tematy: • Najczęstsze ataki internetowe • Dzienna liczba ataków • Rodzaje ataków • Najczęściej atakowane porty • Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi • Ataki typu odmowa usługi • Kraje o największym odsetku komputerów zainfekowanych oprogramowaniem typu bot • Kraje najczęściej inicjujące ataki • Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu • Ataki ukierunkowane na poszczególne branże • Wskaźnik poważnych ataków w poszczególnych branżach Najczęstsze ataki internetowe Najczęstsze ataki wykrywane przez Symantec Managed Security Services i Symantec DeepSight Threat Management System odpowiadają tym, których prawdopodobieństwo zaobserwowania przez administratorów w ich własnych sieciach jest największe. Ranking ten obejmuje ataki z udziałem robaków, gdyż stanowią one znaczną część ataków, przed którymi nadal muszą się bronić firmy i instytucje. Analiza najczęstszych ataków opiera się na wyznaczeniu procentu wszystkich atakujących adresów IP, z których przeprowadzono atak danego typu. W pierwszym półroczu 2004 r. sześć spośród dziesięciu najczęstszych ataków stanowiły nowe pozycje, co oznacza, że sytuacja w dziedzinie zagrożeń ulega znacznym zmianom. Natomiast w badanym okresie od 1 lipca do 31 grudnia 2004 r. na liście dziesięciu najczęstszych ataków znalazły się tylko trzy nowe pozycje (patrz tab. 1), co wskazuje, że środowisko zagrożeń bezpieczeństwa informacji może się stabilizować. VII–XII 2004 I–VI 2004 Pozycja Pozycja w bieżącym okresie w poprzednim okresie 1 1 Microsoft SQL Server Resolution Service Stack Overflow Attack 2 nieujęty w rankingu Generic TCP Syn Flood Denial of Service Attack VII–XII 2004 Procent atakujących w obecnym okresie 22% I–VI 2004 Procent atakujących w poprzednim okresie 15% 12% brak danych 3 10 Microsoft Windows DCOM RPC Interface Buffer Overrun Attack 7% 1% 4 6 Generic SMTP Malformed Command/Header Attack 5% 2% 2 W32.HLLW.Gaobot Attack Version 4% 4% 5 6 nieujęty w rankingu Generic Invalid HTTP String Attack 4% NA 7 7 Generic ICMP Flood Attack 3% 2% 8 3 Generic WebDAV/Source Disclosure “Translate: f” HTTP Header Request Attack 2% 4% 9 Generic HTTP Directory Attack 9 10 nieujęty w rankingu Generic UTF8 Encoding in URL Attack 2% 1% 2% brak danych Tabela 1. Najczęstsze ataki Źródło: Symantec Corporation 15 Raport firmy Symantec na temat bezpieczeństwa w Internecie Najczęściej występującym atakiem w okresie od 1 lipca do 31 grudnia 2004 r. był Microsoft SQL Server Resolution Service Stack Overflow Attack. Przeprowadzono go z 22% atakujących adresów IP. Jest to kontynuacja tendencji obserwowanej w pierwszym półroczu 2004 r., gdy atak ten również był najbardziej rozpowszechniony. Należy zauważyć, że w poprzednim badanym okresie atak ten był określany jako Slammer Attack, ponieważ większość zdarzeń o tym charakterze była związana z oryginalnym robakiem Slammer. Jednak obecnie znane są również inne przykłady destrukcyjnego kodu używające tego typu ataku, w związku z czym firma Symantec powróciła do jego pierwotnej nazwy. Drugie półrocze 2004 r. jest trzecim z rzędu badanym okresem, w którym atak Microsoft SQL Server Overflow Attack zajął pierwszą pozycję w omawianym tu rankingu. Taka stała wysoka pozycja jest spowodowana trzema czynnikami. Po pierwsze, wiele zagrożeń (łącznie z oryginalnym robakiem Slammer) wykorzystuje tę lukę w zabezpieczeniach używając pojedynczego pakietu UDP. Użycie standardu UDP umożliwia przeprowadzanie tego ataku ze sfałszowanych źródłowych adresów IP12, co może znacznie zwiększać liczbę obserwowanych źródłowych adresów. Fałszowanie adresów źródłowych ułatwia ukrycie faktycznej lokalizacji źródła ataku, a tym samym znacznie utrudnia badanie ataku i odpowiednie reagowanie. Chociaż Slammer nie fałszował adresów źródłowych, inne mechanizmy ataku oparte na tej samej koncepcji mogą to robić. Analiza adresów źródłowych wskazuje, że nawet do 10% źródłowych adresów atakujących systemów to adresy sfałszowane, które w rzeczywistości nie istnieją. Po drugie, użycie standardu UDP umożliwia hakerowi wysłanie kompletnego ataku13 na każdy adres IP, bez względu na to, czy SQL Server jest zainstalowany na danym systemie i czy działa. Oznacza to, że systemy wykrywania włamań często interpretują każdą próbę ataku jako pełen atak. Trzecim czynnikiem, który może wpłynąć na liczbę systemów podatnych na ten atak, a tym samym na liczbę atakujących systemów, jest wdrożenie MSDE (Microsoft Desktop Engine). Komponent MSDE jest włączony do wielu aplikacji innych producentów i instalowany wraz z nimi. Jest to wariant mechanizmu serwera SQL firmy Microsoft, co oznacza, że jest w takim samym stopniu, jak SQL Server, wrażliwy na ataki robaka Slammer i inne ataki związane nim. Rozpoznanie takich systemów i zainstalowanie w nich odpowiednich programów korygujących może być trudne, zaś instalowanie w systemie w trakcie jego eksploatacji oprogramowania zawierającego niezabezpieczoną wersję MSDE może spowodować, że bezpieczny dotąd system stanie się podatny na atak. Drugim najczęstszym atakiem w drugim półroczu 2004 r. był TCP Syn Flood Denial of Service Attack, który został przeprowadzony z 12% atakujących systemów. Należy zauważyć, że niektóre związane z tym atakiem sygnatury rejestrowane przez systemy wykrywania włamań mogą sprzyjać występowaniu fałszywych trafień, co z kolei może zwiększyć liczbę wykrywanych ataków. Pomimo to firma Symantec uważa, że częstość występowania tego ataku jest znaczna. Atak ten, mający charakter niespecyficznego ataku typu odmowa usługi (DoS), w poprzednim okresie nie wszedł do rankingu dziesięciu najczęstszych ataków. Jego cechą charakterystyczną jest generowanie ogromnej liczby żądań do usługi internetowej działającej na atakowanym komputerze, co powoduje jego przeciążenie. Każdą sesję TCP inicjuje pakiet SYN. Przeciążenie atakowanego systemu wielką liczbą pakietów SYN z żądaniami, bez zakończenia poprzednich żądań, uniemożliwia przetwarzanie uprawnionych żądań. W przypadku tego typu ataków haker często fałszuje adres źródłowy pakietów, aby uzyskać maksymalny efekt, co może zwiększać liczbę wykrywanych systemów atakujących. 12 Określenie „sfałszowany” (spoofed) odnosi się do praktyki ustanawiania połączenia z podaniem nieprawdziwego adresu nadawcy. Zazwyczaj haker realizuje to przez wykorzystanie relacji zaufania istniejącej pomiędzy adresem lub systemem źródłowym a adresem lub systemem docelowym. Adres IP używany jako sfałszowany adres źródłowy może być zarówno legalnym adresem używanym gdzieś w Internecie, jak i adresem spoza alokowanej przestrzeni adresów IP, czyli adresem nieużywanym. 13 Protokół UDP nie wymaga żadnej synchronizacji przed wysłaniem danych i ich przyjęciem przez usługę docelową, w odróżnieniu od protokołu TCP, gdzie przekazanie właściwych danych poprzedza trzystopniowe uzgodnienie synchronizujące systemy. W związku z tym, ataki wykorzystujące TCP występują jedynie wtedy, gdy atakowana usługa zaakceptuje połączenie. W przypadku UDP, atakujący system po prostu wysyła pełny atak bez sprawdzania, czy usługa znajduje się w trybie nasłuchu. 16 Raport firmy Symantec na temat bezpieczeństwa w Internecie Nasilenie tego tradycyjnego ataku typu odmowa usługi jest intrygujące. Wskazuje to, że chociaż hakerzy eksperymentowali już z nowymi formami ataków typu DoS (głównie z użyciem sieci komputerów zainfekowanych oprogramowaniem typu bot), teraz przypuszczalnie wracają do bardziej tradycyjnych metod przeprowadzania takich ataków14. W sytuacji, gdy wzrastała liczba sieci komputerów zainfekowanych oprogramowaniem typu bot i dostępność hostów podatnych na takie ataki (z powodu luk w zabezpieczeniach usług DCOM RPC, LSASS i innych włączonych domyślnie usług systemu Windows), hakerzy mogli stosunkowo łatwo uruchomić setki lub tysiące zainfekowanych komputerów, które przeciążały atakowany system poprawnymi żądaniami. Jednak – jak się wydaje – wprowadzenie pakietu serwisowego Windows XP SP215 i innych środków zapobiegawczych ograniczyło liczbę komputerów podatnych na ten atak. W konsekwencji zmalała także liczba komputerów zainfekowanych oprogramowaniem typu bot, których można używać do skanowania. W sytuacji, gdy hakerzy mają do dyspozycji mniej takich komputerów, wracają do starszych technik atakowania docelowych systemów. (Dokładniejsze omówienie tego tematu znajduje się w podrozdziale „Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi”). Przed atakami typu odmowa usługi można zabezpieczać się na różne sposoby. W przypadku ataku polegającego na zalewie pakietami SYN, często stosuje się takie parametry konfiguracji systemów operacyjnych i zapór ogniowych, które zapewniają dostępność zasobów niezbędnych do obsługi legalnych żądań. Administratorzy powinni zapoznać się z metodami prawidłowego dostrajania swoich systemów oraz zapewnić sobie pomoc operatora Internetu przy filtrowaniu od strony zewnętrznej ruchu przychodzącego związanego z atakami typu odmowa usługi. Trzecią pozycję w rankingu najczęstszych ataków w okresie od 1 lipca do 31 grudnia 2004 r. zajął Microsoft Windows DCOM RPC Interface Buffer Overflow Attack. Jego pozycja w rankingu ponownie wzrosła po spadku na dziesiątą w pierwszym półroczu 2004 r. Atak ten jest znany przede wszystkim z tego, że był użyty przez robaka Blaster16 do rozprzestrzeniania się w 2003 r., ale później był także używany przez rozmaite przykłady oprogramowania typu bot, takie jak Gaobot, Spybot i Randex17. Wysoka pozycja omawianego ataku w rankingu wskazuje, że hakerzy w dalszym ciągu używają tej samej luki w zabezpieczeniach do atakowania systemów. Analiza danych z systemu honeypot firmy Symantec wskazuje, że większość prób ataków jest przeprowadzanych z komputerów zainfekowanych różnymi wariantami programów Gaobot i Spybot lub innymi aplikacjami typu bot. Administratorzy systemów mogą zmniejszyć zagrożenie ze strony tej luki w zabezpieczeniach filtrując ruch w portach TCP 135 i TCP 445 na brzegach sieci. Jednak robaki i inne przykłady destrukcyjnego kodu usiłujące wykorzystać luki w zabezpieczeniach za pośrednictwem tych portów mogą niekiedy ominąć zabezpieczenia brzegów wykorzystując komputer łączący się z siecią przedsiębiorstwa przez wirtualną sieć prywatną bądź komputer przenośny, np. notebook. Z tego względu, aby zahamować powiększanie się szkód w przypadku infekcji, należy wdrożyć blokowanie na brzegach sieci oraz mocne filtrowanie pomiędzy jej logicznymi segmentami w celu ograniczenia propagacji. Prawdopodobieństwo infekcji można znacznie zmniejszyć stosując surowe zasady konfigurowania systemów i kontroli we wszystkich komputerach, które nie są chronione zaporą ogniową. Pozycja programu Gaobot w rankingu spadła z drugiej w pierwszej połowie 2004 r. na piątą w drugiej połowie tego roku. Gaobot to program typu bot, którym umożliwia hakerowi przejęcie kontroli nad dużą 14 Dalsze uzasadnienie dla tego wniosku jest podane w podrozdziale „Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi”. Microsoft wprowadził pakiet serwisowy SP2 do systemu Windows XP w sierpniu 2004 r. Dokładny termin wprowadzenia był różny dla poszczególnych wersji i wariantów językowych tego systemu. Pakiet SP2 do wersji Windows XP Home Edition został udostępniony w serwisie Windows Update w dniu 16 sierpnia 2005 r. Zawiera on korekty błędów w zabezpieczeniach, korekty ustawień (aktywacja zapory ogniowej XP), funkcję monitorowania statusu aplikacji antywirusowych i zapór ogniowych innych firm oraz funkcję ograniczenia przepływności, która pozwala kontrolować ilość ruchu w połączeniach wychodzących obsługiwanych przez dany komputer. Wszystkie te środki zmniejszają możliwości hakerów włączenia komputera do rozproszonej sieci komputerów zainfekowanych oprogramowaniem typu bot. 16 http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html 17 Pełne omówienie wzrostu liczby wariantów oprogramowania typu bot podajemy w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu. 15 17 Raport firmy Symantec na temat bezpieczeństwa w Internecie liczbą oddzielnych systemów oraz zmuszenie ich do wyszukiwania nowych systemów, a następnie wykorzystywania luk w ich zabezpieczeniach i przejmowania nad nimi kontroli. Można do niego łatwo dodawać nowe funkcje atakujące nowo odkrywane luki w zabezpieczeniach, co powoduje, że bardzo szybko po opublikowaniu destrukcyjnego kodu wykorzystującego luki w zabezpieczeniach dochodzi do masowej infekcji systemów, na których nie zostały zainstalowane odpowiednie programy korygujące. Wskutek tego Gaobot jest w dalszym ciągu poważnym zagrożeniem dla każdego przedsiębiorstwa i instytucji, które używają systemów Windows, ale nie instalują dostatecznie szybko nowych programów korygujących luki w zabezpieczeniach. Poza szybkim wdrażaniem programów korygujących o znaczeniu krytycznym, ryzyko infekcji można zmniejszyć stosując osobiste zapory ogniowe (zapory ogniowe w komputerach osobistych). (Więcej informacji na temat działania sieci komputerów zainfekowanych oprogramowaniem typu bot podajemy w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu). Dzienna liczba ataków W podrozdziale tym omówiono liczbę ataków obserwowanych każdego dnia przez firmy i instytucje podłączone do Internetu. Liczba prób ataków, których doświadcza firma w danym okresie może być dobrym wskaźnikiem ogólnej skali ataków w Internecie. Dzienna częstość ataków jest określana na podstawie liczby wykrytych ataków skierowanych przeciwko firmie znajdującej się na środkowej pozycji w próbie. W okresie od 1 lipca do 31 grudnia 2004 r. średnia dzienna liczba ataków obserwowanych przez przedsiębiorstwa lub instytucje z badanej próby wyniosła 13,6 (patrz rys. 5). W poprzednim okresie sześciomiesięcznym wskaźnik ten wyniósł 10,6 ataków dziennie. Dla porównania dodajmy, że w drugim półroczu 2003 r. przedsiębiorstwa i instytucje obserwowały średnio 12,6 ataków dziennie. Wzrost liczby ataków o 3 dziennie jest spowodowany zwiększeniem liczby sond oraz wzrostem liczby ataków bez wykorzystania robaków. Poprzednio, gdy w badanym okresie obserwowano wzrost dziennej liczby ataków, było to spowodowane przede wszystkim aktywnością robaków. Natomiast w obecnie badanym okresie było inaczej, gdyż aktywność robaków spadła w porównaniu z poprzednimi okresami, a wzrost liczby ataków był spowodowany w większej części atakami bez wykorzystania robaków. Ta zmiana w strukturze typów ataków została dokładniej omówiona w podrozdziale „Rodzaje ataków”. 18 13.6 Dzienna liczba ataków 12.6 12 10.6 6 0 VI–XII 2003 r. (wyd. V Raportu) I–VI 2004 r. (wyd. VI Raportu) VII–XII 2004 r. (niniejszy Raport) Okres (wyd. Raportu) Rys. 5. Dzienna liczba ataków w trzech ostatnich okresach półrocznych Źródło: Symantec Corporation 18 Raport firmy Symantec na temat bezpieczeństwa w Internecie Rodzaje ataków W celu lepszego poznania obecnych ataków internetowych oraz wypracowania skutecznych metod ochrony przed nimi, pomocne jest zaznajomienie się z konkretnymi typami ataków występujących w sieci. W niniejszym podrozdziale omówiono ataki, jakie wystąpiły w ostatnim półroczu, w rozbiciu na trzy rodzaje: rekonesanse, ataki z wykorzystaniem robaków oraz ataki bez wykorzystania robaków. W analizie zaprezentowano procentowy udział ataków danego rodzaju w łącznej liczbie wykrytych ataków (patrz rys. 6). Ataki bez wykorzystania robaków Rekonesanse Ataki z wykorzystaniem robaków Udział procentowy we wszystkich atakach 100% 34% 80% 41% 42% 60% 13% 49% 40% 47% 20% 45% 17% 0% VII–XII 2003 r. (wyd. V Raportu) I–VI 2004 r. (wyd. VI Raportu) 12% VII–XII 2004 r. (niniejszy Raport) Okres (wyd. Raportu) Rys. 6. Rozkład ataków poszczególnych kategorii w okresie od 1 lipca do 31 grudnia 2004 r. Źródło: Symantec Corporation W okresie od 1 lipca do 31 grudnia 2004 r., 47% wykrytych ataków zostało zaliczonych do kategorii rekonesanse. Jest to wskaźnik zbliżony do pierwszego półrocza tego roku, gdy jako próby rekonesansów zaklasyfikowano 49% ataków. W dalszym ciągu znaczny udział w atakach tego typu ma skanowanie w poszukiwaniu usług z tylnymi wejściami, udostępnianych w portach o wysokich numerach (tj. powyżej 1023). Zjawisko szeroko zakrojonego skanowania w poszukiwaniu takich usług z tylnymi wejściami stale nasilało się na przestrzeni ostatnich trzech badanych okresów i należy przypuszczać, że będzie się nasilało nadal. Istnieje szereg metod zaradczych, które należy stosować, aby uniemożliwić znalezienie podatnego na atak celu. Administratorzy powinni dopilnować, by w systemach działało oprogramowanie antywirusowe z aktualnymi definicjami. Firma Symantec zaleca także wdrożenie silnego filtrowania na brzegach sieci oraz rejestrowanie połączeń w dzienniku. Oprócz tego administratorzy powinni rejestrować w dzienniku połączenia wychodzące w celu rozpoznania ewentualnych zainfekowanych maszyn wewnątrz sieci. 19 Raport firmy Symantec na temat bezpieczeństwa w Internecie W drugim półroczu 2004 r. udział ataków z wykorzystaniem robaków w ogólnej liczbie ataków wyniósł tylko 12% (patrz rys. 6), co jest najniższym wskaźnikiem na przestrzeni ostatnich czterech badanych okresów półrocznych. Od pierwszego półrocza 2003 r., gdy wskaźnik ten wyniósł 59%, aktywność robaków stale maleje. Największy spadek nastąpił pomiędzy drugim półroczem 2003 r. a pierwszym półroczem 2004 r., gdy wskaźnik ten zmniejszył się z 45% do 17%. Niewielki udział ataków z wykorzystaniem robaków może być wyjaśniony faktem, że w badanym okresie nie wykryto żadnej rozległej infekcji tradycyjnymi robakami. Trzeba jednak zaznaczyć, że duża aktywność oprogramowania typu bot i półautonomicznych narzędzi do wykorzystywania luk w zabezpieczeniach utrudnia rozróżnianie między atakami z wykorzystaniem robaków a atakami bez wykorzystania robaków. Jeśli tendencja ta będzie nadal narastać, może okazać się konieczne zrezygnowanie z rozróżniania między tymi dwiema formami ataków. Podczas gdy na przestrzeni trzech ostatnich badanych okresów aktywność robaków spadała, w dziedzinie ataków bez wykorzystania robaków nie daje się zaobserwować żadnej długoterminowej tendencji. Zwróciliśmy na to uwagę już w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie18. Wskaźnik ataków bez wykorzystania robaków zachowywał się w sposób zmienny – w drugim półroczu 2003 r. był najwyższy i wynosił 42%, podczas gdy w pierwszym półroczu 2004 r. był najniższy i wynosił 34%. W drugim półroczu 2004 r. znowu wzrósł i wyniósł 41%. Firma Symantec uważa, że zestawy narzędziowe służące do opracowywania ataków bez wykorzystania robaków zawierają kod wykorzystujący zarówno starsze luki w zabezpieczeniach, jak i nowo pojawiające się luki w zabezpieczeniach aplikacji internetowych oraz luki po stronie klienta, co przyczynia się do stosunkowo stabilnego obrazu ataków tego typu. W przeszłości wystarczającym zabezpieczeniem przed zagrożeniami internetowymi były systemy wykrywania włamań do sieci. Jednak obecnie, gdy coraz częściej występują ataki na aplikacje internetowe oraz ataki wykorzystujące luki w zabezpieczeniach po stronie klienta, a zwłaszcza ataki na przeglądarki i ataki z użyciem destrukcyjnego kodu osadzonego np. w plikach graficznych, skuteczność tradycyjnych systemów wykrywania włamań staje się problematyczna. Równocześnie utrudnia to podział na rekonesanse, ataki z wykorzystaniem robaków i ataki bez wykorzystania robaków. W miarę rozwoju tych tendencji, zwłaszcza w dziedzinie ataków na aplikacje internetowe i ataków na systemy klienckie, niezbędne będzie opracowanie nowej klasyfikacji oraz nowych systemów wykrywania włamań spełniających nowe wymagania. Należy przypuszczać, że ten rozdział Raportu firmy Symantec na temat bezpieczeństwa w Internecie będzie musiał w przyszłości stosować rozszerzoną typologię, która uwzględni pojawiającą się klasę ataków na aplikacje internetowe. Najczęściej atakowane porty System Symantec DeepSight Threat Management System śledzi najczęściej atakowane porty w oparciu o zdarzenia wykrywane przez czujniki zainstalowane w zaporach ogniowych objętych badaniem (patrz tab. 2). Najlepszym kryterium oceny intensywności atakowania danego portu jest liczba adresów IP (bez powtórzeń), z których wychodzą ataki na niego. Miara ta odzwierciedla jedynie zainteresowanie hakera tym portem, natomiast nie zakłada, że z wykrytym zdarzeniem musi się wiązać atak (np. na specyficzną usługę) bądź usiłowanie uzyskania informacji przydatnych do ataku. Niedostępność informacji definitywnie wskazujących na atak powoduje, że niemożliwe jest oddzielenie ataków z wykorzystaniem robaków od 18 20 Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI, wrzesień 2004 r., str. 10: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 Raport firmy Symantec na temat bezpieczeństwa w Internecie ataków służących do zebrania informacji bądź prób wykorzystania luk w zabezpieczeniach. Omawiany ranking jedynie wskazuje i liczy odrzucone próby połączenia, co oznacza, że dane te nie uwzględniają uprawnionych operacji wykonywanych w badanych portach. Pozycja w rankingu (VII–XII 2004) Pozycja w rankingu (I–VI 2004) VII–XII 2004 Procent atakujących I–VI 2004 Procent atakujących Port Opis usługi 1 2 445 TCP CIF (Microsoft file sharing) 35% 17% 2 3 135 TCP DCE-RPC (remote Microsoft Windows communication) 17% 15% 3 4 7 1026 UDP Various dynamic services 8% 3% 4 4662 TCP Edonkey (file sharing) 6% 7% Various dynamic services 5% brak danych Gnutella (file sharing) 5% 5% SMB (Microsoft file sharing) 4% brak danych 1025 TCP Various backdoors and dynamic services 2% 3% 9 nieujęty w rankingu 1434 UDP Microsoft SQL services 2% brak danych 10 nieujęty w rankingu 25 TCP SMTP services 2% brak danych 5 6 7 8 nieujęty w rankingu 1027 UDP 5 6346 TCP nieujęty w rankingu 139 TCP 10 Tabela 2. Najczęściej atakowane porty Źródło: Symantec Corporation W okresie od 1 lipca do 31 grudnia 2004 r. najczęściej atakowanym portem był port TCP 445, który atakowało 35% wszystkich atakujących systemów. Jest on powszechnie używany przez usługi współużytkowania plików i drukarek firmy Microsoft (często określane jako SMB lub CIFS). Poza współużytkowaniem plików, za pośrednictwem tego portu są udostępniane inne funkcje zdalnego zarządzania, w tym niektóre funkcje RPC (zdalne wywoływanie procedur), co przypuszczalnie jest przyczyną częstego wykorzystywania tego portu przez hakerów. W pierwszym półroczu 2004 r. port TCP 445 zajmował drugą pozycję w rankingu najczęściej atakowanych portów. Znaczna część ataków na ten port wiąże się z utrzymującą się aktywnością robaka Sasser19. Analiza przeprowadzona przez system honeypot firmy Symantec wykazuje, że oprogramowanie typu bot, w tym różne warianty robotów Spybot i Gaobot, atakuje port TCP 445 bardzo często. Celem ataków przeprowadzanych przez ten port są najczęściej luki w zabezpieczeniach określane jako Microsoft Windows LSASS Buffer Overrun Vulnerability20 i Microsoft Windows DCOM RPC Interface Buffer Overflow Vulnerability21. Oprócz wykorzystywania powyższych luk w zabezpieczeniach, niektóre ataki występują, gdy łatwy do odgadnięcia identyfikator użytkownika i hasło pozwala hakerowi uzyskać bezpośredni dostęp do współużytkowanego zasobu plikowego. Port TCP 445 jest zwykle dobrze chroniony na brzegach sieci. Jednak robaki i inne przykłady destrukcyjnego kodu usiłujące wykorzystać luki w zabezpieczeniach za pośrednictwem tego portu mogą niekiedy ominąć zabezpieczenia brzegów wykorzystując komputer łączący się z siecią przedsiębiorstwa 19 20 21 http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html http://www.securityfocus.com/bid/10108 http://www.securityfocus.com/bid/8205 21 Raport firmy Symantec na temat bezpieczeństwa w Internecie przez wirtualną sieć prywatną bądź komputer przenośny, np. notebook. Z tego względu, aby zahamować powiększanie się szkód w przypadku infekcji, należy wdrożyć blokowanie na brzegach sieci oraz mocne filtrowanie pomiędzy jej logicznymi segmentami w celu ograniczenia propagacji. Prawdopodobieństwo infekcji można znacznie zmniejszyć stosując surowe zasady konfigurowania systemów i kontroli we wszystkich komputerach, które nie są chronione zaporą ogniową. Drugą pozycję w rankingu najczęściej atakowanych w okresie od 1 lipca do 31 grudnia 2004 r. portów zajął port TCP 135. W pierwszym półroczu tego roku port ten był na trzeciej pozycji w tym rankingu. Nastąpił niewielki wzrost odsetka systemów atakujących ten port – od 15% w pierwszym półroczu 2004 r. do 17% w drugim półroczu tego roku. Port TCP 135 jest związany z usługą firmy Microsoft pod nazwą RPC (Remote Procedure Call – zdalne wywoływanie procedur), działającą na komputerach z systemem Microsoft Windows. Większość aktywności wykrytej w okresie od 1 lipca do 31 grudnia 2003 r. była związana z robakami Blaster22 i Welchia23, które rozpowszechniały się w tamtym okresie bardzo efektywnie. W roku 2003 ataki na port TCP 135 osiągnęły maksimum nasilenia i były wówczas wyprowadzane z prawie jednej trzeciej atakujących systemów. Od czasu epidemii tych wirusów port TCP 135, podobnie jak port TCP 445, stał się popularnym celem ataków hakerów usiłujących tworzyć sieci komputerów zainfekowanych oprogramowaniem typu bot. Oba porty są intensywnie atakowane przez programy Spybot i Gaobot. Podobnie jak port TCP 445, port TCP 135 jest zazwyczaj dobrze kontrolowany na brzegach sieci, jednak robaki i inne programy destrukcyjne mogą ominąć ochronę brzegową, wykorzystując komputery łączące się z siecią przez wirtualną sieć prywatną lub komputer y przenośne. Z tego względu, aby zapobiec potencjalnym szkodom spowodowanym atakami na ten port, firma Symantec zaleca wdrożenie zapór ogniowych w komputerach osobistych (osobistych zapór ogniowych), a także surowych środków i zasad kontroli konfiguracji systemów, zwłaszcza w przypadku komputerów niezabezpieczonych przez zaporę ogniową. Trzecim najczęściej atakowanym portem w drugim półroczu 2004 był port UDP 1026, który był atakowany przez 8% wszystkich atakujących systemów. Oznacza to wzrost w stosunku do pierwszego półrocza 2004 r., gdy wskaźnik ten wynosił 3% i port UDP 1026 zajmował siódmą pozycję w rankingu najczęściej atakowanych portów. W przeszłości port UDP 1026 był wykorzystywany w celu dostarczania do hostów z systemem Microsoft Windows spamu w postaci wyskakujących okien za pośrednictwem usług RPC i Messenger. Ułatwiający podawanie fałszywego adresu IP charakter portu UDP oznacza, że pozycję tego portu w rankingu należy traktować z dystansem. Bez jednoznacznego dowodu wskazującego na to, czy dane adresy są fałszywe, czy nie, nie można określić prawdziwej natury i źródła tych działań. Analiza przeprowadzona przez system honeypot firmy Symantec wskazuje, że spam w postaci wyskakujących komunikatów dostarczanych za pośrednictwem portu UDP 1026 jest w dalszym ciągu plagą. Chociaż jest możliwe wykorzystanie tą samą drogą luki RPC DCOM Overflow, firma Symantec nie zaobserwowała dotąd wzrostu tego rodzaju ataków na omawiany port. W przeszłości najczęściej atakowanym portem był port TCP 80. Korzystają z niego serwery WWW, które są popularnym celem ataków robaków, takich jak Code Red i Nimda. Ponadto za jego pośrednictwem są udostępniane aplikacje internetowe, które obecnie stają się coraz częstszym celem ataków ze strony destrukcyjnego kodu. Jednak w drugim półroczu 2004 r. port TCP 80 nie znalazł się wśród dziesięciu najczęściej atakowanych portów. Oznacza to istotną zmianę w stosunku do pierwszego półrocza tego roku, 22 23 22 http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html Raport firmy Symantec na temat bezpieczeństwa w Internecie gdy port ten był najczęściej skanowanym portem (skanowało go 30% skanujących adresów IP). Najważniejszą przyczyną tego spadku w rankingu jest koniec rozprzestrzeniania się robaka Welchia.B w czerwcu, a więc akurat w ostatnim miesiącu poprzedniego badanego okresu. Robak Welchia.B został tak opracowany, że nie rozprzestrzenia się po upływie określonej daty ważności. Ataki na serwery WWW i aplikacje internetowe w dalszym ciągu stanowią skuteczne metody łamania zabezpieczeń informacji. Jednak – jak wynika ze znacznego udziału portów TCP 445 i 135 – większość ataków w dalszym ciągu polega na usiłowaniu złamania zabezpieczeń komputerów biurkowych i serwerów oraz przejęcia nad nimi kontroli. Przykład robaka Perl.Santy24 pokazuje, że nasilone skanowanie portów nie jest niezbędne do skutecznego ataku robaka na technologię WWW. Robak Santy atakował lukę określaną jako PHPBB Viewtopic.PHP PHP Script Injection Vulnerability25, występującą w zabezpieczeniu aplikacji phpBB (serwis elektronicznego biuletynu informacyjnego). Robak ten wyszukiwał ofiary korzystając z wyszukiwarki Google, a nie przez skanowanie sieci w poszukiwaniu serwerów WWW, jak to ma miejsce w przypadku większości robaków internetowych (np. CodeRed i Nimda). Brak skanowania atakowanych systemów spowodował, że ataki tego robaka nie były wykazywane jako aktywność na porcie 80. Co więcej, obiektem ataku były tylko te przedsiębiorstwa lub instytucje, które używały podatnych aplikacji, wskutek czego nasilenie aktywności skanowania stało się znacznie trudniejsze do wykrycia (robak Santy jest omówiony dokładniej w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu). Port UDP 1434, który zajmuje dziewiątą pozycję w rankingu najczęściej atakowanych portów, jest używany do ataku określanego jako Microsoft SQL Server Resolution Service Stack Overflow Attack. Niska pozycja tego portu w rankingu prawdopodobnie wynika z faktu, że administratorzy odpowiedzialni za ochronę zdecydowali się wyłączyć rejestrowanie prób ataków na ten port ze względu na wydajność bądź w celu uproszczenia kontroli dziennika. Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi Począwszy od VI wydania Raportu firmy Symantec na temat bezpieczeństwa w Internecie (wrzesień 2004 r.), rozpoznajemy aktywność grup komputerów przeprowadzających skoordynowane skanowanie lub ataki. Pozwala to firmie Symantec identyfikować sieci komputerów zainfekowanych oprogramowaniem typu bot realizujące takie skoordynowane działania. Dodatkową zaletą takiej analizy jest możliwość wykrycia niektórych typów robaków, których wykrycie przy użyciu innych metod nie byłoby możliwe. Nie należy jednak sądzić, że zostają w ten sposób rozpoznane wszystkie takie komputery, gdyż w celu ograniczenia liczby fałszywych trafień ataki są sygnalizowane tylko w wypadku spełnienia przez poszczególne komputery szeregu wymagań dotyczących przebiegu ataku. Sieć komputerów zainfekowanych oprogramowaniem typu bot jest to grupa komputerów o złamanych zabezpieczeniach, na których haker zainstalował oprogramowanie nasłuchujące poleceń (zazwyczaj za pośrednictwem kanału IRC) i odpowiednio reagujące na te polecenia. Pozwala to atakującemu zdalnie kontrolować takie komputery. Oprogramowanie typu bot można zdalnie aktualizować, dołączając do niego kod wykorzystujący nowo odkryte luki w zabezpieczeniach. Sieci komputerów zainfekowanych oprogramowaniem typu bot są w przypadku nowych luk w zabezpieczeniach często groźniejsze niż robaki, gdyż w celu wykorzystania takiej nowej luki nie wymagają dodatkowego kodu do rozprzestrzeniania się. 24 25 http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html http://www.securityfocus.com/bid/10701 23 Raport firmy Symantec na temat bezpieczeństwa w Internecie Znacznie ułatwia to włączanie nowych funkcji wykorzystujących luki w zabezpieczeniach. Ponadto do takiego oprogramowania można dołączać dowolną liczbę przykładów kodu wykorzystującego luki, wskutek czego trudno jest odróżnić atak przeprowadzony przez sieć komputerów zainfekowanych oprogramowaniem typu bot od ukierunkowanego ataku przeprowadzonego przez jednego hakera. W pierwszym półroczu 2004 r. analitycy firmy Symantec odnotowali stały wzrost liczby komputerów zainfekowanych oprogramowaniem typu bot. W tym okresie średnia liczba obserwowanych dziennie skanujących komputerów zainfekowanych takim oprogramowaniem wzrosła do ponad 30 tys. Przypuszczano wówczas, że ta tendencja będzie się utrzymywać w miarę włączania nowych systemów do sieci zainfekowanych komputerów. Jednak jak widać z rys. 7, ta rosnąca tendencja nie utrzymała się przez drugie półrocze 2004 r. W okresie od 1 lipca do 31 grudnia 2004 r. liczba obserwowanych aktywnie skanujących komputerów zainfekowanych oprogramowaniem typu bot spadła z maksymalnej wartości ponad 30 tys. dziennie pod koniec lipca do poniżej 5 tys. dziennie pod koniec roku. Największy spadek miał miejsce w połowie sierpnia, a szczególnie znaczący spadek wystąpił w dniu 19 sierpnia. Moment ten był ściśle skorelowany z udostępnieniem pakietu serwisowego SP2 do systemu Windows XP. Uzasadnione jest założenie, że ten pakiet serwisowy, wraz z innym podejmowanymi środkami zabezpieczającymi, zdecydował o spadku liczby rozpoznanych komputerów zainfekowanych oprogramowaniem typu bot. Należy podkreślić, że niniejsze omówienie opiera się na obserwacji skoordynowanej i ukierunkowanej aktywności sieci komputerów zainfekowanych oprogramowaniem typu bot. Każda znaczna zmiana działania hakerów, zwłaszcza tworzenie mniejszych grup komputerów skanujących przez krótszy okres, może zmniejszyć efektywność stosowanej tu metody rozpoznawania i analizowania sieci takich komputerów. Analiza tendencji dotyczących sieci komputerów zainfekowanych oprogramowaniem typu bot, podana w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu, wskazuje na znaczny wzrost liczby wariantów programów typu bot oraz wzrost liczby doniesień o nich. Jednym z możliwych wyjaśnień tej pozornej rozbieżności tendencji jest pojawienie się mniejszych sieci komputerów zainfekowanych oprogramowaniem typu bot. Mniejsza wielkość sieci utrudnia rozpoznawanie oparte na wykrywaniu skoordynowanego skanowania. 24 Raport firmy Symantec na temat bezpieczeństwa w Internecie Liczba aktywnych komputerów rozpoznanych jako zainfekowane oprogramowaniem typu bot 35,000 Średnia krocząca Liczba komputerów zainfekowanych oprogramowaniem typu bot obserwowanych dziennie 30,000 25,000 20,000 15,000 10,000 5,000 30 XII 2004 r. 16 XII 2004 r. 2 XII 2004 r. 18 XI 2004 r. 4 XI 2004 r. 21 X 2004 r. 7 X 2004 r. 23 IX 2004 r. 9 IX 2004 r. 26 VIII 2004 r. 12 VIII 2004 r. 29 VII 2004 r. 15 VII 2004 r. 1 VII 2004 r. 0 Data Rys. 7. Liczba komputerów rozpoznanych jako zainfekowane oprogramowaniem typu bot w okresie od 1 lipca do 31 grudnia 2004 r. Źródło: Symantec Corporation Firma Symantec zbadała spadkową tendencję skanowania przez sieci komputerów zainfekowanych oprogramowaniem typu bot (rys. 8). Badanie to wykazało, że ten znaczny spadek liczby takich komputerów jest związany głównie z bardzo dużym spadkiem liczby komputerów przeprowadzających skoordynowane skanowanie portów TCP 445 i TCP 135 oraz atakujących te porty. Spadek liczby komputerów zainfekowanych oprogramowaniem typu bot przeprowadzających skoordynowane skanowanie tych dwóch portów jest głównym powodem spadku liczby rozpoznanych systemów zainfekowanych przez takie oprogramowanie. Oba wymienione porty są często stosowane jako droga rozprzestrzeniania się oprogramowania typu bot na inne systemy komputerowe, zarówno przy wykorzystaniu nieskorygowanych luk w zabezpieczeniach, jak i przy wykorzystaniu łatwych do odgadnięcia identyfikatorów i haseł użytkowników. Wiele powszechnie występujących programów typu bot, w tym Gaobot, atakuje z wykorzystaniem luk dostępnych za pośrednictwem wyżej wymienionych portów w systemie Windows i tą metodą infekuje nowe systemy. Raptowny spadek nasilenia skanowania przeprowadzanego przez sieci komputerów zainfekowanych oprogramowaniem typu bot wskazuje, że pakiet serwisowy SP2, obok skumulowanych pakietów programów korygujących, skutecznie zmniejszył liczbę luk w zabezpieczeniach systemów Windows XP umożliwiających zdalną infekcję. Włączenie w konfiguracji domyślnej reguł zapory ogniowej blokujących port TCP 135 oraz ograniczenie aktywności portu TCP 445 do lokalnej podsieci mogło przyczynić się do zmniejszenia prawdopodobieństwa zainfekowania słabo zabezpieczonych maszyn oprogramowaniem typu bot. Sieci komputerów 25 Raport firmy Symantec na temat bezpieczeństwa w Internecie zainfekowanych takim oprogramowaniem stanowią poważne zagrożenie dla wielu systemów podłączonych do Internetu, gdyż mogą być łatwo wykorzystane do przeprowadzania ataków typu odmowa usługi. Jak się wydaje, zmniejszenie liczby komputerów podatnych na zainfekowanie oprogramowaniem typu bot spowodowało również zmianę sposobu przeprowadzania ataków typu odmowa usługi, co zostanie omówione w następnym podrozdziale. Średnia dzienna zmiana liczby komputerów zainfekowanych oprogramowaniem typu bot 10 4 2 1 0 -4 -10 -12 -20 -30 -40 -50 -60 -70 -80 -77 -90 port UDP 1434 port TCP 3127 port TCP 139 porty TCP 135 i 445 port TCP 135 port TCP 445 Skanowanie portów przez komputery zainfekowane oprogramowaniem typu bot Rys. 8. Zmiany intensywności skanowania portów przez sieci komputerów zainfekowanych oprogramowaniem typu bot Źródło: Symantec Corporation Ataki typu odmowa usługi Ataki typu odmowa usługi (DoS) stanowią poważne zagrożenie dla przedsiębiorstw i instytucji opierających swoją działalność na Internecie, a zwłaszcza tych, w których połączenia internetowe generują znaczną część przychodów. Termin „odmowa usługi” to ogólne określenie zdarzenia, gdy uprawniony dostęp do usługi świadczonej przez dany komputer zostaje zablokowany lub spowolniony. Jak wspomniano wyżej w rozdziale „Najczęstsze ataki internetowe”, na drugim miejscu w rankingu najczęstszych ataków znalazł się Generic TCP SYN Flood Denial of Service Attack. Ten atak polega na przeciążeniu usługi internetowej próbami połączeń, które nie kończą negocjacji połączenia26. Często ataki tego typu są przeprowadzane przy użyciu sfałszowanych źródłowych adresów IP, co powoduje dodatkowy ruch zwany backscatter, polegający na odsyłaniu pakietów pod takie fałszywe adresy. Rys. 9 przedstawia cele ataków typu odmowa usługi, określone na podstawie analizy ruchu backscatter będącego następstwem ataku. 26 26 Protokół TCP wymaga trzyetapowej wymiany pakietów synchronizacyjnych przed przesłaniem jakichkolwiek danych. Wymiana ta jest inicjowana przez przesłanie pakietu SYN. Po jego odebraniu, system docelowy odsyła pakiet SYN-ACK i oczekuje na pakiet ACK. Dopiero otrzymanie tego pakietu kończy synchronizację. Jeśli adres źródłowy pierwszego pakietu SYN zostanie sfałszowany, atak może spowodować, że docelowy (odpowiadający) system będzie po wysłaniu pakietu SYN-ACK czekać w nieskończoność na pakiet ACK. Umożliwia to hakerowi utrzymywanie wielu otwartych sesji, a tym samym skuteczne przeprowadzenie ataku typu odmowa usługi. Raport firmy Symantec na temat bezpieczeństwa w Internecie 450 Średnia krocząca Dzienna liczba ofiar ataków typu odmowa usługi Liczba zaatakowanych hostów dziennie 400 350 300 250 200 150 100 50 31 XII 2004 r. 18 XII 2004 r. 4 XII 2004 r. 20 XI 2004 r. 6 XI 2004 r. 23 X 2004 r. 9 X 2004 r. 25 IX 2004 r. 11 IX 2004 r. 28 VIII 2004 r. 14 VIII 2004 r. 31 VII 2004 r. 17 VII 2004 r. 3 VII 2004 r. 0 Data Rys. 9. Dzienna liczba ofiar ataków typu odmowa usługi Źródło: Symantec Corporation Liczba ataków DoS, w których wykorzystywano sfałszowane adresy źródłowe, wzrosła wyraźnie na początku sierpnia 2004 r. Nastąpiło to w momencie wprowadzenia pakietu serwisowego SP2 do systemu Windows XP. Jak wspomniano wcześniej, wprowadzenie SP2 przypuszczalnie wpłynęło na liczbę komputerów zainfekowanych oprogramowaniem typu bot aktywnie uczestniczących w skoordynowanym skanowaniu. Firma Symantec uważa, że może istnieć korelacja pomiędzy spadkiem liczby aktywnych komputerów zainfekowanych oprogramowaniem typu bot a wzrostem liczby ataków na serwery internetowe przy użyciu sfałszowanych hostów. Zdaniem firmy Symantec istnieją także uzasadnione powody, by przypuszczać, że gdy hakerzy stracą zdolność do przeprowadzania ataków typu odmowa usługi przy użyciu dużej liczby komputerów zainfekowanych oprogramowaniem typu bot, powrócą do starszych metod, takich jak fałszowanie adresów źródłowych w ramach ataku polegającego na zalaniu systemu docelowego pakietami SYN. Użycie sfałszowanych adresów źródłowych umożliwia hakerowi przeciążenie atakowanego systemu za pomocą mniejszej liczby atakujących komputerów, co jest istotnym czynnikiem w sytuacji, gdy maleje ogólna liczba komputerów możliwych do wykorzystania dla celów ataku. Ochrona przed atakami typu odmowa usługi przeprowadzanymi z użyciem sfałszowanych adresów źródłowych jest trudna, ponieważ fałszowanie adresów bardzo komplikuje filtrowanie oparte na adresach IP. Niektóre systemy mają włączone opcje konfiguracji, dzięki którym system jest mniej narażony na wyczerpanie zasobów27. Przedsiębiorstwa lub instytucje będące obiektem ataku DoS często muszą zwracać się do operatora Internetu o pomoc w filtrowaniu ruchu sieciowego od strony zewnętrznej. 27 Komputery dysponują ograniczonymi zasobami, takimi jak ilość pamięci, moc procesora czy przepustowość sieci. Mogą także istnieć ograniczenia nakładane przez system operacyjny. Wyczerpanie zasobów to sytuacja, w której zostanie osiągnięty któryś z takich limitów bądź nastąpi nasycenie mocy przetwarzania lub przepustowości sieci. 27 Raport firmy Symantec na temat bezpieczeństwa w Internecie Kraje o największym odsetku komputerów zainfekowanych oprogramowaniem typu bot Przygotowując niniejszą edycję Raportu firmy Symantec na temat bezpieczeństwa w Internecie, zbadaliśmy rozkład komputerów zainfekowanych oprogramowaniem typu bot w całym Internecie. W tym celu Firma Symantec policzyła liczbę znanych komputerów zainfekowanych takim oprogramowaniem na świecie oraz obliczyła, jaki odsetek z nich znajduje się w poszczególnych krajach. Pozwoliło to analitykom poznać rozmieszczenie komputerów zainfekowanych oprogramowaniem typu bot w skali globalnej. Zidentyfikowanie komputerów zainfekowanych oprogramowaniem typu bot ma duże znaczenie, gdyż wysoki wskaźnik zainfekowanych maszyn może oznaczać większe prawdopodobieństwo wystąpienia ataków z użyciem takiego oprogramowania. Ponadto wskaźnik ten sygnalizuje stopień instalowania programów korygujących oraz poziom świadomości użytkowników komputerów w danym regionie. W drugim półroczu 2004 r. krajem, w którym wykryto najwięcej komputerów zainfekowanych oprogramowaniem typu bot, była Wielka Brytania, gdzie zlokalizowano 25,2% takich komputerów (patrz tab. 3). Oprogramowanie typu bot, według obserwacji firmy Symantec, najczęściej infekuje komputery obsługiwane przez dużych operatorów Internetu, często udostępniających szybkie (szerokopasmowe) łącza internetowe. Jednym z czynników, które prawdopodobnie wpływają na tak dużą liczbę komputerów zainfekowanych oprogramowaniem typu bot w Wielkiej Brytanii, jest mający tam miejsce szybki rozwój łączy szerokopasmowych28. Firma Symantec przypuszcza, że nowi użytkownicy takich łączy mogą nie zdawać sobie sprawy z dodatkowych środków bezpieczeństwa, jakie powinni wdrożyć w związku z używaniem szybkich, stałych łączy internetowych. Oprócz tego pojawienie się wielu nowych użytkowników, co pociąga za sobą rozwój infrastruktury i wzrost kosztów pomocy technicznej, może opóźnić reakcje operatorów Internetu na zgłoszenia dotyczące nadużyć i infekcji. Pozycja w rankingu 1 2 3 4 5 6 7 8 9 10 Procent wszystkich Kraj zainfekowanych komputerów Wielka Brytania 25.2% Stany Zjednoczone 24.6% Chiny 7.8% Kanada 4.9% Hiszpania 3.8% Francja 3.6% Niemcy 3.5% Tajwan 3.1% Korea Południowa 3.0% Japonia 2.6% Tabela 3. Kraje o największym odsetku komputerów zainfekowanych oprogramowaniem typu bot Źródło: Symantec Corporation Drugą pozycję w tym rankingu zajmują Stany Zjednoczone, gdzie zlokalizowano 24,6% komputerów zainfekowanych oprogramowaniem typu bot. Wysoką pozycję Stanów Zjednoczonych w tym rankingu wyjaśnia fakt, że w tym kraju jest bardzo wielu użytkowników Internetu i użytkowników szybkich połączeń szerokopasmowych – jest ich ponad 30 mln, a więc więcej niż gdziekolwiek indziej29. 28 29 28 http://news.bbc.co.uk/1/hi/technology/4065047.stm http://www.point-topic.com/content/dslanalysis/Q304+BB+analysis+041215.htm (Uwaga: dostęp do tej witryny wymaga rejestracji). Raport firmy Symantec na temat bezpieczeństwa w Internecie W Chinach znajduje się 7,8% wszystkich komputerów zainfekowanych oprogramowaniem typu bot na świecie. Podobnie jak wiele innych krajów, Chiny przeżywają gwałtowny wzrost liczby użytkowników podłączonych do Internetu przez szybkie łącza szerokopasmowe30. Wzrost ten co prawda nie jest wystarczający, by Chiny uzyskały tak wysoki udział jak Stany Zjednoczone i Wielka Brytania, ale i tak kraj ten wyprzedza pod tym względem swoich sąsiadów w regionie, takich jak Korea Południowa i Japonia. Firma Symantec przewiduje, że udział procentowy komputerów zainfekowanych oprogramowaniem typu bot w Chinach będzie wzrastał do momentu spowolnienia tempa wzrostu liczby połączeń szerokopasmowych. Kraje najczęściej inicjujące ataki W niniejszym podrozdziale omówiono ranking krajów pod względem liczby źródeł ataków (patrz tab. 4). Przedstawiona tu miara reprezentuje jedynie lokalizacje komputerów, z których wyszły ataki, a nie faktyczne lokalizacje hakerów przeprowadzających ataki. Chociaż prześledzenie drogi ataku do ostatniego komputera, z którego został on wyprowadzony, jest stosunkowo proste, taki komputer nie musi być własnym systemem atakującego. Hakerzy często przeskakują przez liczne systemy bądź korzystają z wcześniej opanowanych komputerów w celu ukrycia swojej lokalizacji przed przeprowadzeniem właściwego ataku. Na przykład haker zlokalizowany w Chinach może przeprowadzić atak z zainfekowanego systemu w Korei Południowej na serwer WWW w Nowym Jorku. Dodatkową komplikację stanowi fakt, że międzynarodowe procedury prawne często uniemożliwiają skuteczne zbadanie rzeczywistej lokalizacji hakera. Pozycja w rankingu (VII–XII 2004) 1 2 3 4 5 6 7 8 9 10 Pozycja w rankingu (I–VI 2004) 1 2 5 9 3 6 7 NR 8 NR Kraj Stany Zjednoczone Chiny Niemcy Korea Południowa Kanada Wielka Brytania Francja Japonia Hiszpania Włochy Procent wszystkich zdarzeń (VII–XII 2004) 30% 8% 8% 4% 4% 4% 3% 3% 3% 2% Procent wszystkich zdarzeń (VII–XII 2004) 37% 6% 5% 3% 6% 4% 4% NA 3% NA Tabela 4. Kraje najczęściej inicjujące ataki Źródło: Symantec Corporation Pierwsze miejsce w rankingu krajów najczęściej inicjujących ataki w dalszym ciągu zajmują Stany Zjednoczone, jednak odsetek ataków wychodzących z tego kraju od trzech badanych okresów półrocznych systematycznie spada. W drugim półroczu 2004 r. ze Stanów Zjednoczonych wyszło 30% ataków, co oznacza spadek w stosunku do pierwszego półrocza tego roku, gdy wskaźnik ten wynosił 37%, oraz w stosunku do drugiego półrocza 2003 r., gdy wskaźnik ten wynosił 58%. Można przewidywać, że w miarę jak inne kraje będą rozbudowywać swoją infrastrukturę internetową, zwłaszcza w zakresie szybkich połączeń, odpowiednio będzie spadać odsetek ataków wychodzących ze Stanów Zjednoczonych. 30 http://news.bbc.co.uk/2/hi/technology/3699820.stm 29 Raport firmy Symantec na temat bezpieczeństwa w Internecie Drugie miejsce w rankingu krajów pod względem liczby źródeł ataków w drugim półroczu 2004 r. zajęły Chiny, nie zmieniając swojej pozycji w porównaniu z pierwszym półroczem tego roku. Udział procentowy Chin w liczbie zdarzeń na całym świecie nieco wzrósł – z 6% w pierwszym do 8% w drugim półroczu 2004 r. Niemcy przesunęły się w ostatnim badanym okresie na trzecią pozycję w tym rankingu, a ich udział procentowy w liczbie źródeł ataków internetowych wyniósł 8%, podczas gdy w pierwszym półroczu wynosił 5% i dawał temu krajowi piątą pozycję w rankingu. Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu Wskaźnik liczby ataków inicjowanych z danego kraju nie uwzględnia liczby użytkowników Internetu w tym kraju. Na przykład Stany Zjednoczone mają jedną z największych populacji użytkowników Internetu, nie może więc być zaskoczeniem, że zajmują również wysoką pozycję w rankingu pod względem liczby ataków. W niniejszym podrozdziale omówiono ranking krajów pod względem liczby przeprowadzonych ataków w przeliczeniu na 10 tys. użytkowników Internetu (patrz tab. 5). W analizie uwzględniono wszystkie kraje, w których liczba użytkowników Internetu przekracza 100 tys31. Obecna pozycja w rankingu 1 2 3 4 5 6 7 8 9 10 Kraj Panama SRA Hong Kong Makao Katar Izrael Turcja Bośnia i Hercegowina Kanada Luksemburg Hiszpania Pozycja w rankingu w I poł. 2004 brak danych brak danych 2 brak danych 3 7 brak danych 9 brak danych 8 Tabela 5. Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu Źródło: Symantec Corporation Z wyjątkiem Kanady i Hiszpanii, żaden z krajów najczęściej inicjujących ataki w przeliczeniu na liczbę użytkowników Internetu nie pojawia się w obecnym rankingu krajów najczęściej inicjujących ataki ogółem. Ponadto pięć spośród dziesięciu krajów zajmujących w tym rankingu najwyższe pozycje nie występowało w rankingu w poprzednim badanym okresie. Oznacza to, że po skorygowaniu liczby źródeł ataków o czynnik uwzględniający liczbę użytkowników Internetu, w rankingu następują bardzo duże zmiany. Analizując listę krajów, z których przeprowadzono najwięcej ataków w przeliczeniu na liczbę użytkowników Internetu, można zauważyć pewną prawidłowość. Chociaż występują tu kraje, których pozycja w tym rankingu zmienia się niewiele – są to Turcja, Izrael, Hiszpania i Kanada – wskaźniki dla innych krajów w przeliczeniu na 10 tys. użytkowników wykazują znacznie większą zmienność. Jednym z czynników powodujących takie zmiany może być szybki wzrost liczby użytkowników Internetu w tych krajach. Konsekwencją takiego wzrostu jest m.in. to, że użytkownicy mogą nie być dostatecznie uświadomieni 31 30 Dane dotyczące liczby użytkowników Internetu w poszczególnych krajach zostały pobrane z publikacji CIA World Factbook 2004 (http://www.cia.gov/cia/publications/factbook/). Raport firmy Symantec na temat bezpieczeństwa w Internecie w dziedzinie procedur zapewnienia bezpieczeństwa. W efekcie komputery w krajach przeżywających raptowny wzrost liczby użytkowników Internetu mogą być gorzej zabezpieczone niż w krajach, gdzie użytkownicy są bardziej doświadczeni. Drugą konsekwencją takiego szybkiego wzrostu liczby użytkowników Internetu jest to, że występują problemy ze statystyką użycia Internetu. Do czasu, gdy tempo wzrostu liczby użytkowników Internetu w tych krajach spadnie, prawdopodobnie nadal będą występować duże różnice w rankingach w poszczególnych badanych okresach. W krajach, gdzie użytkowników Internetu jest mniej, prawdopodobnie będą zachodzić poważniejsze zmiany – liczba użytkowników Internetu może się podwoić lub potroić w ciągu roku, a to oznacza ogromne zmiany w aktywności związanej z atakami. W wielu krajach, które po raz pierwszy pojawiły się w rankingu krajów najczęściej inicjujących ataki w przeliczeniu na liczbę użytkowników Internetu, liczba takich użytkowników wynosi od 100 tys. do 200 tys. Jest prawdopodobne, że w poprzednich badanych okresach kraje te nie osiągały liczby 100 tys. użytkowników Internetu, wymaganej do uwzględnienia ich w naszym badaniu. Wskazuje to, że wszystkie takie kraje przeżywają gwałtowny wzrost liczby użytkowników Internetu, w wielu przypadkach dwukrotny lub trzykrotny w ciągu półrocza. Taki wzrost użycia Internetu w tych krajach (takich jak Panama, Katar, Bośnia i Hercegowina) odzwierciedla się w ich pozycji w rankingu pod względem liczby źródeł ataków w przeliczeniu na liczbę użytkowników Internetu. Omawiana miara może być także zniekształcona wskutek opóźnienia pomiędzy faktycznym wzrostem liczby użytkowników Internetu a udokumentowaniem tego wzrostu w źródłach referencyjnych. Przykładem tego zjawiska jest pojawienie się w rankingu w ostatnim badanym okresie Łotwy. Podawana w cytowanym źródle (CIA World Factbook) liczba użytkowników Internetu w tym kraju wzrosła z 312 tys. w roku 2003 do 936 tys. w roku 2004. Chociaż taki szybki wzrost liczby użytkowników Internetu powinien wpłynąć na liczbę ataków, nie zostało to odzwierciedlone w źródłach, na których oparto analizę. Oznacza to, że wskaźnik dla tego kraju został zniekształcony. Spadek Łotwy w rankingu krajów najczęściej inicjujących ataki w przeliczeniu na liczbę użytkowników Internetu prawdopodobnie jest spowodowany faktem, że wzrosła w tym kraju udokumentowana liczba użytkowników Internetu (odzwierciedlając szybki faktyczny wzrost liczby użytkowników), podczas gdy liczba ataków pozostała stosunkowo stabilna. W efekcie wskaźnik liczby ataków w przeliczeniu na liczbę znanych użytkowników Internetu zmniejszył się. Ataki ukierunkowane na poszczególne branże Wybierając cele ataków hakerzy kierują się różnymi powodami. W niektórych przypadkach atak może być ukierunkowany na jedno przedsiębiorstwo lub grupę przedsiębiorstw tej samej branży. W innych przypadkach ataki mogą mieć charakter po prostu oportunistyczny, tzn. haker stara się opanować dowolny system, bez względu na to, kto jest jego właścicielem. W niniejszym podrozdziale omówiono ataki ukierunkowane na specyficzne branże (patrz rys. 10). Przez „ukierunkowanego atakującego” rozumie się atakujący adres IP, który w badanym okresie zaatakował co najmniej trzy czujniki zainstalowane w systemach z danej branży i nie wykonał ataku na żadną inną branżę. 31 Raport firmy Symantec na temat bezpieczeństwa w Internecie 8% Udział procentowy 6% 4% 2% 0% Usługi Zaawansowane finansowe technologie Ochrona zdrowia Media i rozrywka Energetyka Przedsiębiorstwa produkcyjne Małe firmy Organizacje pozarządowe (nonprofit) Usługi biznesowe Oświata Branża Rys. 10. Ataki ukierunkowane na poszczególne branże Źródło: Symantec Corporation W okresie od 1 lipca do 31 grudnia 2004 r. najczęściej atakowaną branżą była branża usług finansowych. Odsetek ataków ukierunkowanych na tę branżę wzrósł z 4% do ponad 6%. Wzrost ten jest kontynuacją tendencji obserwowanej również w poprzednim okresie sześciomiesięcznym, w którym odsetek ataków ukierunkowanych na tę branżę wzrósł z 1% do 4%. Był to największy ze wszystkich branż wzrost wskaźnika ukierunkowanych ataków. Usługi finansowe są ogólnie uznawane za atrakcyjny cel dla hakerów mających nadzieję na uzyskanie korzyści finansowych, a stały wzrost wskaźnika ukierunkowanych ataków oznacza, że hakerzy sondują coraz więcej instytucji finansowych w poszukiwaniu luk w zabezpieczeniach. Drugą branżą w rankingu pod względem liczby ukierunkowanych ataków w okresie od 1 lipca do 31 grudnia 2004 r. była branża zaawansowanych technologii. W poprzednim okresie branża ta zajęła czwartą pozycję w tym rankingu. Jednak chociaż branża ta podwyższyła swoją pozycję w rankingu, odsetek ataków ukierunkowanych na przedsiębiorstwa z branży zaawansowanych technologii w rzeczywistości zmniejszył się z nieco poniżej 4% w pierwszym do nieco powyżej 3% w drugim półroczu 2004 r. W drugim półroczu 2003 r. wskaźnik ukierunkowanych ataków na tę branżę wynosił nieco poniżej 5%. Można przypuszczać, że przedsiębiorstwa z branży zaawansowanych technologii stosują solidniejsze zabezpieczenia, wskutek czego atrakcyjność takich przedsiębiorstw jako celów ataków maleje, zwłaszcza że atakowanie innych branż może przynosić hakerom większe korzyści. Podobnie jak branża zaawansowanych technologii, również branża ochrony zdrowia podwyższyła swoją pozycję w rankingu – z dziewiątej w pierwszym półroczu 2004 r. na trzecią w drugim półroczu tego roku. Pomimo tego znacznego skoku w rankingu, liczba ukierunkowanych ataków na instytucje ochrony zdrowia wzrosła tylko nieznacznie, a ich udział procentowy pozostaje wciąż zbliżony do 2%. 32 Raport firmy Symantec na temat bezpieczeństwa w Internecie Najbardziej znaczący spadek w porównaniu z pierwszym półroczem 2004 r. nastąpił w sektorze małych firm. O ile w pierwszym półroczu 2004 r. branża ta zajęła drugie miejsce w rankingu, w drugim półroczu spadła na siódmą pozycję, a odsetek ataków ukierunkowanych na tę branżę wyniósł niewiele ponad 1%. W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie przyjęliśmy, że wysoka pozycja sektora małych firm w tym rankingu jest związana ze sposobem użycia Internetu przez nie. Małe firmy częściej łączą się z Internetem przez linie DSL lub sieć telewizji kablowej, a ponadto każda firma ma przydzieloną stosunkowo małą pulę adresów internetowych. Z tych względów przedstawiliśmy przypuszczenie, że skoordynowany atak na określony zakres adresów IP należących do jednego operatora linii DSL lub telewizji kablowej może zostać rozpoznany jako atak ukierunkowany, mimo że w rzeczywistości ma charakter oportunistyczny. Firma Symantec w dalszym ciągu podtrzymuje pogląd, że takie grupowanie adresów zawyża rezultaty obserwowanego skanowania tych segmentów Internetu, wyolbrzymiając skutki skanowania niektórych klas sieci. Jest możliwe, że nasilenie skanowania pewnych zakresów adresów może zawyżać oszacowaną liczbę ukierunkowanych ataków w niektórych okresach próbkowania. Efektem tego może być bardzo duża zmienność wskaźników obserwowanych w tej branży. Rzuca się w oczy fakt, że branża handlu elektronicznego, która zajmowała czołową pozycję w rankingu w pierwszym półroczu 2004 r., nie znalazła się w rankingu za ostatni analizowany okres. Stało się tak dlatego, że w okresie tym nie została utrzymana liczba czujników w tej branży wymagana do zapewnienia statystycznej reprezentatywności. Z tego względu firma Symantec w ogóle wyłączyła branżę handlu elektronicznego z analizy. Jest możliwe, że ten spadek liczby czujników w branży handlu elektronicznego został spowodowany zmianami w klasyfikacji branż, zwłaszcza dotyczącymi rozróżnienia pomiędzy handlem elektronicznym a tradycyjnymi przedsiębiorstwami handlowymi. Tradycyjne przedsiębiorstwa stale rozszerzają swoją działalność na świat Internetu, przedstawiając oferty online, w związku z czym rozróżnienie pomiędzy przedsiębiorstwami handlu elektronicznego a tradycyjnymi przedsiębiorstwami handlowymi może już nie być właściwe. Wskaźnik poważnych ataków w poszczególnych branżach Wskaźnik poważnych ataków w poszczególnych branżach porównuje branże pod kątem liczby poważnych (o wysokim poziomie istotności) zdarzeń pochodzących z zewnętrznych systemów atakujących, wykrytych przez czujniki zainstalowane w systemach danej branży. Firma Symantec określa stopień istotności ataku na podstawie charakterystyki ataku, środków obronnych podjętych przez klienta, wartości zagrożonych zasobów oraz stopnia powodzenia ataku. Ataki o wysokim poziomie istotności stanowią największe zagrożenie dla przedsiębiorstw i instytucji. Liczba ataków tego poziomu może być miarą ryzyka, na jakie narażona jest dana branża. Omówione zostaną branże, w których wystąpiła największa liczba poważnych zdarzeń w przeliczeniu na 10 tys. zdarzeń (patrz rys. 11). Najwięcej ataków o wysokim poziomie istotności w przeliczeniu na 10 tys. wszystkich zdarzeń wystąpiło w sektorze usług finansowych. Sektor ten jest atrakcyjnym celem dla hakerów, gdyż zdarzenia w tym sektorze przyciągają uwagę opinii publicznej jako mające związek z transakcjami finansowymi. Biorąc pod 33 Raport firmy Symantec na temat bezpieczeństwa w Internecie uwagę wysoką pozycję tej branży zarówno w rankingu poważnych ataków jak i w rankingu ataków ukierunkowanych, jest oczywiste, że instytucje finansowe muszą podjąć odpowiednie środki w celu rozpoznania i niwelowania ryzyka takich ataków. Wysoki wskaźnik zdarzeń o wysokim poziomie istotności zaobserwowano również w innych branżach, takich jak branża produkcyjna, transportowa oraz media i rozrywka. Wysoki wskaźnik poważnych zdarzeń występujących w tych branżach w porównaniu z innymi branżami infrastrukturalnymi, takimi jak branża energetyczna czy ochrony zdrowia, może wskazywać, że w tych ostatnich branżach wdrożono dodatkowe środki bezpieczeństwa, które lepiej chronią przed atakami. Zwraca uwagę czwarta pozycja branży mediów i rozrywki, zwłaszcza w kontekście udanych prób manipulowania mediami za pomocą ataków internetowych. Ze względu na duże zainteresowanie opinii publicznej, witryny tej branży są często atakowane przez „haktywistów”, czyli osobników, którzy niszczą je w celu umieszczenia w nich swoich materiałów. Jednym z najgłośniejszych przykładów zmanipulowania witryny WWW było zdarzenie z sierpnia 2001 r., gdy znany haker Adrian Lamo zmodyfikował treść artykułu w serwisie informacyjnym witryny Yahoo32, subtelnie zniekształcając przedstawione w nim fakty. Za ten czyn został on potem oskarżony i skazany33. Biorąc pod uwagę, że witryny agencji informacyjnych cieszą się dużą popularnością i opinia publiczna zwraca na nie uwagę, nie można wykluczyć, że będą podejmowane następne próby manipulowania treścią umieszczanych w nich materiałów. Liczba poważnych zdarzeń na 10 tys. zdarzeń 18 15 12 9 6 3 0 Usługi finansowe Przedsiębiorstwa produkcyjne Transport Media i rozrywka Telekomunikacja Zaawansowane Organizacje technologie pozarządowe (nonprofit) Branża Rys. 11. Wskaźnik poważnych ataków w poszczególnych branżach Źródło: Symantec Corporation 32 33 34 http://www.securityfocus.com/news/254 http://www.securityfocus.com/news/9520 Energetyka Ochrona zdrowia Usługi biznesowe Raport firmy Symantec na temat bezpieczeństwa w Internecie Tendencje dotyczące luk w zabezpieczeniach Luka w zabezpieczeniach jest to błąd projektowy lub implementacyjny systemu informatycznego, który może spowodować naruszenie poufności, integralności bądź dostępności informacji przechowywanych czy transmitowanych w takim systemie. Luki w zabezpieczeniach najczęściej dotyczą oprogramowania, ale istnieją we wszystkich warstwach systemów informatycznych – od poziomu projektu lub specyfikacji protokołu po fizyczną implementację sprzętu. Luki w zabezpieczeniach mogą być wykorzystywane aktywnie – przez użytkowników mających wrogie intencje lub przez automatycznie działający destrukcyjny kod, bądź też mogą występować pasywnie w trakcie działania systemu. Nowe luki w zabezpieczeniach są regularnie wykrywane i ujawniane przez duże środowisko użytkowników, badaczy, hakerów i dostawców zabezpieczeń. Ujawnienie nawet jednej luki w zabezpieczeniach zasobu o znaczeniu krytycznym może poważnie naruszyć bezpieczeństwo przedsiębiorstwa lub instytucji. Firma Symantec starannie monitoruje badania luk w zabezpieczeniach oraz śledzi takie luki przez cały okres ich „życia” – od wstępnej dyskusji po wprowadzenie programu korygującego czy innego środka zaradczego. Niniejszy rozdział Raportu firmy Symantec na temat bezpieczeństwa w Internecie omawia luki w zabezpieczeniach wykryte w okresie od 1 lipca do 31 grudnia 2004 r. Przedstawia porównanie tych luk z lukami wykrytymi w poprzednich dwóch okresach półrocznych oraz omawia, w jaki sposób aktualne tendencje dotyczące luk w zabezpieczeniach mogą wpłynąć na potencjalne przyszłe zagrożenia. W przypadkach, których to dotyczy, przedstawia także strategie łagodzenia skutków wykorzystania takich luk. Zalecenia firmy Symantec dotyczące najlepszych procedur w zakresie ochrony są podane w Załączniku A na końcu niniejszego Raportu34. W niniejszym rozdziale Raportu firmy Symantec na temat bezpieczeństwa w Internecie omówiono następujące tematy: • Łączna liczba wykrytych luk w zabezpieczeniach • Poziom istotności luk w zabezpieczeniach • Łatwość wykorzystania • Czas opracowywania kodu wykorzystującego luki w zabezpieczeniach • Luki w zabezpieczeniach aplikacji internetowych • Luki w zabezpieczeniach przeglądarek internetowych • Luki w zabezpieczeniach przeglądarek internetowych w rozbiciu na poziomy istotności Firma Symantec utrzymuje BugTraq35 – jedno z najpopularniejszych forów internetowych poświęconych ujawnianiu i omawianiu luk w zabezpieczeniach. Jest to lista adresowa obejmująca ok. 50 tys. abonentów indywidualnych, którzy otrzymują codziennie informacje dotyczące zabezpieczeń, prowadzą dyskusje na ten temat oraz wnoszą do nich własny wkład. Firma Symantec utrzymuje również jedną z najobszerniejszych na świecie baz danych o lukach w zabezpieczeniach, obejmującą obecnie ponad 11 tys. pozycji (z ponad 10 lat). Luki te wykryto w ponad 20 tys. technologii pochodzących od przeszło 2 tys. dostawców. Omówienie tendencji dotyczących luk w zabezpieczeniach jest oparte na wnikliwej analizie tych danych. 34 35 Należy zwrócić uwagę, że wszystkie liczby przedstawione w tym omówieniu zostały zaokrąglone do najbliższej liczby całkowitej. Z tego względu w niektórych przypadkach udziały procentowe nie sumują się do 100%. Lista adresowa BugTraq jest utrzymywana przez SecurityFocus (http://www.securityfocus.com). Archiwa listy są dostępne pod adresem http://www.securityfocus.com/archive/1. 35 Raport firmy Symantec na temat bezpieczeństwa w Internecie Łączna liczba wykrytych luk w zabezpieczeniach W okresie od 1 lipca do 31 grudnia 2004 r. firma Symantec udokumentowała 1403 nowe luki w zabezpieczeniach (patrz rys. 12). Oznacza to wzrost łącznej liczby wykrytych luk o 13% w stosunku do pierwszego półrocza 2004 r., gdy ich liczba wynosiła 1237, oraz o 19% w stosunku do okresu od 1 lipca do 31 grudnia 2003 r., gdy wykryto 1180 luk. Drugie półrocze 2004 r. było drugim z kolei badanym okresem, w którym zaobserwowano wzrost łącznej liczby wykrytych luk w zabezpieczeniach. Jak widać na rys. 12, liczba przypadków wykrycia luk rosła stale od pierwszego półrocza 2001 r. do pierwszego półrocza 2003 r. Potem nastąpił spadek liczby wykrywanych luk w drugim półroczu 2003 r. i ponowny wzrost w dwóch ostatnich badanych okresach półrocznych. Obecnie liczba ta zbliżyła się do wartości maksymalnej osiągniętej w połowie 2003 roku. Liczba udokumentowanych luk w zabezpieczeniach 1,600 1,480 1,403 1,285 1,310 1,180 1,200 1,237 780 800 680 400 0 I–VI 2001 VII–XII 2001 I–VI 2002 VII–XII 2002 I–VI 2003 VII–XII 2003 I–VI 2004 VII–XII 2004 Okres Rys. 12. Łączna liczba luk w zabezpieczeniach udokumentowanych przez firmę Symantec w latach 2001?2004 Źródło: Symantec Corporation Liczba udokumentowanych luk w zabezpieczeniach 70 58 60 52 48 50 40 30 20 10 0 lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 13. Liczba luk w zabezpieczeniach wykrywanych tygodniowo w ciągu ostatnich 18 miesięcy Źródło: Symantec Corporation 36 Raport firmy Symantec na temat bezpieczeństwa w Internecie Ten wzrost liczby ujawnianych luk w zabezpieczeniach w dwóch ostatnich badanych okresach jest również widoczny przy analizie liczby luk wykrywanych tygodniowo. W drugim półroczu 2004 r. wykrywano średnio 58 nowych luk w zabezpieczeniach tygodniowo, a więc więcej niż w poprzednim okresie półrocznym, gdy liczba ta wynosiła 52. Oznacza to wzrost o prawie jedną dodatkową lukę wykrywaną dziennie (patrz rys. 13). W okresie od 1 lipca do 31 grudnia 2003 r. publikowano średnio 48 nowych luk tygodniowo. Wynika z tego, że administratorzy odpowiedzialni za ochronę muszą obecnie chronić się przed średnio dziesięcioma lukami tygodniowo więcej niż rok temu. Poziom istotności luk w zabezpieczeniach Poziom istotności luki w zabezpieczeniach określa, w jakim stopniu dana luka umożliwia hakerowi dostęp do atakowanego systemu. Miara ta określa również potencjalne skutki efektywnego wykorzystania takiej luki dla poufności, integralności oraz dostępności zainfekowanego systemu. Dla potrzeb niniejszego Raportu firmy Symantec na temat bezpieczeństwa w Internecie, wszystkie luki w zabezpieczeniach zostały podzielone na następujące trzy poziomy istotności: Niski poziom istotności – Luki stanowiące niewielkie zagrożenie. Haker nie może wykorzystać luki za pośrednictwem sieci, a ponadto nawet skuteczne wykorzystanie luki nie powoduje kompletnego opanowania informacji przechowywanych lub transmitowanych w systemie. Umiarkowany pozom istotności – Luki umożliwiające częściowe złamanie zabezpieczeń zaatakowanego systemu, na przykład takie, dzięki którym atakujący uzyskuje wyższe uprawnienia, ale nie uzyskuje kompletnej kontroli nad atakowanym systemem. Wysoki poziom istotności – Luki w zabezpieczeniach, których wykorzystanie prowadzi do całkowitego opanowania systemu. W prawie wszystkich przypadkach skuteczne ich wykorzystanie może spowodować kompletną utratę poufności, integralności i dostępności danych przechowywanych lub transmitowanych w takim systemie. Do wysokiego poziomu istotności zostało zakwalifikowanych 696 luk w zabezpieczeniach udokumentowanych przez firmę Symantec w okresie od 1 lipca do 31 grudnia 2004 r., czyli 50% łącznej liczby wykrytych luk (patrz rys. 14). Oznacza to wzrost o 4% w stosunku do pierwszego półrocza 2004 r., gdy do wysokiego poziomu istotności zostało zakwalifikowanych 46% wszystkich wykrytych luk. W stosunku do analogicznego okresu roku poprzedniego liczba luk w zabezpieczeniach o wysokim poziomie istotności wzrosła o 6%. Spośród luk w zabezpieczeniach udokumentowanych przez firmę Symantec w drugim półroczu 2004 r., do umiarkowanego poziomu istotności zostało zakwalifikowanych 667 luk , czyli 48% ich łącznej liczby. Oznacza to niewielki spadek w stosunku do pierwszego półrocza tego roku, gdy wskaźnik luk o umiarkowanym poziomie istotności wyniósł 50%, a także nieco większy spadek w stosunku do okresu od 1 lipca do 31 grudnia 2003 r., gdy wskaźnik ten wyniósł 54%. W drugim półroczu 2004 r. do niskiego poziomu istotności firma Symantec zakwalifikowała tylko 40 wykrytych luk w zabezpieczeniach, co stanowi 3% ich łącznej liczby. Jest to mniejszy udział procentowy niż w poprzednim badanym okresie, gdy luk o niskim poziomie istotności było 4%. Jednak jest to równocześnie niewielki wzrost w stosunku do liczby luk o niskim poziomie istotności wykrytych w analogicznym okresie roku poprzedniego, gdy wskaźnik ten wynosił 2%. 37 Raport firmy Symantec na temat bezpieczeństwa w Internecie W badanym okresie utrzymywała się tendencja wzrostowa udziału luk w zabezpieczeniach o umiarkowanym i wysokim poziomie istotności, obserwowana w poprzednich dwóch okresach półrocznych. W drugim półroczu 2004 r. do umiarkowanego i wysokiego poziomu istotności łącznie zaliczono aż 97% wszystkich luk. W poprzednim okresie badanym wskaźnik ten wynosił 95%. Wysoki poziom istotności Umiarkowany poziom istotności Niski poziom istotności Liczba udokumentowanych luk w zabezpieczeniach 1,600 40 28 51 1,200 667 635 618 800 400 0 517 568 lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. 696 lipiec-grudzień 2004 r. Okres Rys. 14. Liczba luk w zabezpieczeniach w rozbiciu na poziomy istotności w ciągu ostatnich 18 miesięcy Źródło: Symantec Corporation Wzrost udziału procentowego luk o wysokim poziomie istotności jest przypuszczalnie spowodowany dwoma czynnikami. Po pierwsze, badacze są bardziej zainteresowani wyszukiwaniem i publikowaniem luk o wysokim poziomie istotności. Poziom istotności luki odzwierciedla m.in. potencjalne skutki jej wykorzystania dla atakowanego systemu. Badacze nie są skłonni poświęcać czasu i wysiłku związanego z badaniami luk w zabezpieczeniach oraz metod ich wykorzystywania, jeśli poziom istotności luki tego nie uzasadnia. Ponadto zdaniem firmy Symantec można przyjąć, iż istnieje korelacja pomiędzy potencjalnymi skutkami wykrytej luki w zabezpieczeniach systemu a stopniem uznania, z jakim spotka się badacz w swoim środowisku. Drugim powodem wzrostu udziału bardziej poważnych luk w zabezpieczeniach jest fakt, że ponad 80% luk udokumentowanych w badanym okresie to luki możliwe do wykorzystania zdalnego. Prawie 50% z nich dotyczy technologii związanych z siecią WWW. Większość nowoczesnych systemów informatycznych wymaga dostępu do sieci lub obsługuje taki dostęp, a odbywa się to coraz częściej za pośrednictwem interfejsów internetowych lub technologii związanych z siecią WWW. Tendencja ta jest odzwierciedlona w zmianach udziału poszczególnych kategorii luk w zabezpieczeniach udokumentowanych w naszej bazie 38 Raport firmy Symantec na temat bezpieczeństwa w Internecie danych. Ponieważ luki w zabezpieczeniach możliwe do wykorzystania za pośrednictwem sieci zaliczane są z definicji do poziomu istotności co najmniej umiarkowanego, wzrost liczby luk możliwych do zdalnego wykorzystania automatycznie zwiększa liczbę luk zaliczanych do poziomu istotności umiarkowanego lub wysokiego. Wysoki poziom istotności Umiarkowany poziom istotności Niski poziom istotności Liczba udokumentowanych luk w zabezpieczeniach 350 12 300 2 250 14 4 115 3 200 5 124 111 150 114 109 94 100 50 174 109 110 119 Sierpień Wrzesień Październik 85 99 0 Lipiec Listopad Grudzień Miesiąc Rys. 15. Liczba luk w zabezpieczeniach miesięcznie w rozbiciu na poziomy istotności Źródło: Symantec Corporation Łatwość wykorzystania Firma Symantec ocenia łatwość wykorzystania każdej luki w zabezpieczeniach na podstawie tego, jak trudno jest hakerowi wykorzystać lukę do złamania zabezpieczeń atakowanego systemu. Ocena łatwości wykorzystania zakłada, że potencjalni hakerzy mają ogólną wiedzę na temat klas luk w zabezpieczeniach i sposobach ich wykorzystywania, z użyciem odpowiedniego kodu lub bez niego (w zależności od rodzaju luki). Firma Symantec kwalifikuje każdą lukę jako „łatwą do wykorzystania”, jeśli jej wykorzystanie nie wymaga specjalnego kodu bądź jeśli taki kod jest dostępny. Jeśli natomiast taki kod umożliwiający wykorzystanie jest wymagany, ale nie jest jeszcze dostępny publicznie, luka jest zaliczana do kategorii „kod umożliwiający wykorzystanie niedostępny”. Ogólnie biorąc, wykorzystanie luk w zabezpieczeniach zaliczanych do kategorii „łatwych do wykorzystania” nie wymaga zaawansowanych umiejętności ani wiedzy. Każdy, kto ma dostateczną ogólną wiedzę techniczną lub posługuje się publicznie dostępnymi narzędziami, może wykorzystać taką lukę. Przykładem są luki w zabezpieczeniach serwerów WWW, które mogą być wykorzystane po prostu przez wprowadzenie odpowiedniego adresu URL w przeglądarce internetowej. 39 Raport firmy Symantec na temat bezpieczeństwa w Internecie Z drugiej strony, luki w zabezpieczeniach zakwalifikowane do kategorii „kod umożliwiający wykorzystanie niedostępny” są trudniejsze do wykorzystania. Jest tak dlatego, że nie można ich wykorzystać bazując jedynie na podstawowej wiedzy, lecz wymagane są do tego specjalne narzędzia, które nie zostały opracowane bądź nie są dostępne publicznie. W celu wykorzystania takich luk, haker musiałby napisać własny kod (zakłada się, że kod taki nie jest dostępny w obiegu podziemnym). Oznacza to, że przeprowadzenie skutecznego ataku wymaga znacznie wyższego poziomu wiedzy i umiejętności oraz nakładu pracy, a to zmniejsza prawdopodobieństwo przeprowadzenia takiego ataku. Należy podkreślić, że nawet jeśli narzędzia umożliwiające wykorzystanie nie są dostępne publicznie, mogą istnieć w rękach prywatnych. Tym niemniej, ponieważ nie są dostępne publicznie, prawdopodobieństwo ich wykorzystania do masowego zaatakowania danej luki jest mniejsze. 100% Łatwe do wykorzystania Odsetek 80% 60% 40% 20% 0% Lipiec Sierpień Wrzesień Październik Listopad Miesiąc Rys. 16. Luki w zabezpieczeniach zakwalifikowane jako łatwe do wykorzystania Źródło: Symantec Corporation 40 Grudzień Raport firmy Symantec na temat bezpieczeństwa w Internecie Liczba udokumentowanych luk w zabezpieczeniach 180 kod umożliwiający wykorzystanie luki niewymagany kod umożliwiający wykorzystanie luki niedostępny kod umożliwiający wykorzystanie luki dostępny 150 120 90 60 30 0 Lipiec Sierpień Wrzesień Październik Listopad Grudzień Miesiąc Rys. 17. Luki w zabezpieczeniach w rozbiciu na poziomy łatwości wykorzystania Źródło: Symantec Corporation Firma Symantec zakwalifikowała 987 luk w zabezpieczeniach wykrytych w okresie od 1 lipca do 31 grudnia 2004 r. jako łatwe do wykorzystania (patrz rys. 16). Oznacza to, że wykorzystanie 70% wszystkich ujawnionych w tym okresie luk nie wymaga żadnego kodu bądź kod taki jest dostępny. W pierwszym półroczu 2004 r. odsetek udokumentowanych luk w zabezpieczeniach zakwalifikowanych jako łatwe do wykorzystania wyniósł 69%, natomiast w drugim półroczu 2003 r. – 72%. Jak widać, odsetek łatwych do wykorzystania luk w zabezpieczeniach w ostatnim badanym okresie prawie się nie zmienił w porównaniu z poprzednimi dwoma okresami. Możliwym wyjaśnieniem tego faktu jest okoliczność, że ci sami badacze wyszukują te same typy luk w zabezpieczeniach. Wielu badaczy, którzy publikują wiadomości na forach dyskusyjnych, takich jak BugTraq, wyszukuje tylko łatwe do wykorzystania luki w zabezpieczeniach aplikacji internetowych. Większość luk w zabezpieczeniach określonych jako łatwe do wykorzystania (53% w okresie od 1 lipca do 31 grudnia 2004 r.) nie wymaga w ogóle żadnego specjalnego kodu. Wskaźnik ten wzrósł nieznacznie w porównaniu z poprzednim badanym okresem, gdy wynosił 52%, natomiast w porównaniu z analogicznym okresem roku poprzedniego wzrósł o 5 punktów procentowych. Pozorny spadek liczby łatwych do wykorzystania luk w zabezpieczeniach w lipcu, widoczny na rys. 17, jest spowodowany małą ogólną liczbą luk wykrytych w tym miesiącu. Luki w zabezpieczeniach zakwalifikowane jako łatwe do wykorzystania są prawie wyłącznie związane z błędami kontroli poprawności wejścia w aplikacjach internetowych. Luki te umożliwiają wykonanie destrukcyjnego skryptu przez przeglądarkę internetową (cross-site scripting) oraz wprowadzenie kodu HTML (HTML injection) i SQL (SQL injection). Odsetek luk w zabezpieczeniach, do wykorzystania których 41 Raport firmy Symantec na temat bezpieczeństwa w Internecie nie jest wymagany żaden kod, stale wzrasta wraz ze wzrostem udziału luk w zabezpieczeniach aplikacji internetowych. (Więcej informacji na ten temat podajemy w omówieniu luk w zabezpieczeniach aplikacji internetowych). Jest to odzwierciedleniem faktu, że wiele aplikacji jest obecnie udostępnianych użytkownikom online za pośrednictwem sieci WWW. Takie zdalnie dostępne aplikacje często zawierają łatwe do odnalezienia luki w zabezpieczeniach. Luki w zabezpieczeniach, do których istnieje wykorzystujący je kod W drugim półroczu 2004 r. firma Symantec udokumentowała 201 luk w zabezpieczeniach, dla których był dostępny kod umożliwiający ich wykorzystanie (patrz rys. 18). Ze względu na dostępność kodu umożliwiającego wykorzystanie, luki takie są uznawane za łatwe do wykorzystania. Udział procentowy luk z dostępnym kodem umożliwiającym ich wykorzystanie w ogólnej liczbie wykrytych luk wyniósł 14%, co jest wskaźnikiem nieznacznie wyższym niż 13% zaobserwowane w pierwszym półroczu 2004 r. Wskaźnik ten w analogicznym okresie poprzedniego roku wynosił 18%, a więc był znacznie wyższy. Zmniejszenie udziału procentowego luk, do których dostępny jest kod umożliwiający ich wykorzystanie, wynika przypuszczalnie z faktu, że w drugim półroczu 2004 r. wzrósł udział wykrytych luk w zabezpieczeniach aplikacji internetowych, których wykorzystanie zazwyczaj nie wymaga specjalnego kodu. 20% 18% 14% 14% styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Odsetek 15% 10% 5% 0% lipiec-grudzień 2003 r. Okres Rys. 18. Luki w zabezpieczeniach, do których istnieje wykorzystujący je kod, udokumentowane w ciągu ostatnich 18 miesięcy Źródło: Symantec Corporation Spośród 202 udokumentowanych w badanym okresie luk w zabezpieczeniach, do których istnieje wykorzystujący je kod, 76% zostało zakwalifikowanych jako zagrożenia o wysokim poziomie istotności (patrz rys. 19). Jest to znaczny wzrost w stosunku do poprzedniego okresu, w którym do wysokiego poziomu istotności zaliczono 64% udokumentowanych luk. 42 Raport firmy Symantec na temat bezpieczeństwa w Internecie Fakt, że większość luk w zabezpieczeniach, do których istnieje wykorzystujący je kod, jest zakwalifikowana jako zagrożenia o wysokim poziomie istotności, nie jest zaskoczeniem. Godne uwagi jest jednak to, że odsetek takich luk wydaje się rosnąć. Odzwierciedla to nastawienie autorów takiego kodu (hakerów), którzy koncentrują swoje wysiłki związane z jego opracowywaniem na przypadkach, które mogą przynieść największe skutki. Jest to niepokojąca tendencja, gdyż natychmiastowa dostępność kodu umożliwiającego wykorzystania luki skraca czas, w którym administratorzy muszą wdrożyć programy korygujące, zanim ryzyko złamania zabezpieczeń systemu znacznie wzrośnie. (Dokładniejsze omówienie czasu upływającego między ujawnieniem luki a pojawieniem się wykorzystującego ją destrukcyjnego kodu znajduje się w podrozdziale „Czas opracowywania kodu wykorzystującego luki w zabezpieczeniach”). Liczba udokumentowanych luk w zabezpieczeniach 80 Wysoki poziom istotności Umiarkowany poziom istotności Niski poziom istotności 60 40 20 0 Lipiec Sierpień Wrzesień Październik Listopad Grudzień Miesiąc Rys. 19. Luki w zabezpieczeniach, do których istnieje wykorzystujący je kod, w rozbiciu na poziom istotności Źródło: Symantec Corporation Czas opracowywania kodu wykorzystującego luki w zabezpieczeniach Czas upływający od ujawnienia luki w zabezpieczeniach do udostępnienia programu korygującego lub innej metody ochrony jest określany jako „okno narażenia” (window of exposure). Jeśli w ciągu tego czasu zostanie opracowany i opublikowany kod wykorzystujący tę lukę, komputery mogą zostać narażone na natychmiastowy, masowy atak. Im krótszy jest czas pomiędzy ujawnieniem luki a opublikowaniem wykorzystującego ją kodu, tym większa liczba hostów może zostać zaatakowana, zanim zostaną udostępnione właściwe programy korygujące. W okresie od 1 lipca do 31 grudnia 2004 r. średni czas upływający od ujawnienia luki do opublikowania wykorzystującego ją kodu wynosił 6,4 doby (patrz rys. 20). Oznacza to wzrost o ponad 0,5 doby w stosunku do poprzedniego półrocza. W pierwszym półroczu 2004 r. kod wykorzystujący luki w zabezpieczeniach 43 Raport firmy Symantec na temat bezpieczeństwa w Internecie pojawiał się średnio w ciągu 5,8 doby po opublikowaniu danej luki. W porównaniu do jeszcze wcześniejszego okresu, średni czas opracowywania kodu wykorzystującego luki w zabezpieczeniach wzrósł o niecałą dobę. Od pierwszego półrocza 2004 r. średni czas upływający od opublikowania luki w zabezpieczeniach do pojawienia się funkcjonalnego kodu umożliwiającego jej wykorzystanie, opracowanego przez niezależne osoby, pozostaje krótszy od jednego tygodnia. Wskazuje to na konieczność jak najszybszego wdrażania przez administratorów programów korygujących lub innych środków ochrony przed nowymi zagrożeniami. Zadanie to jest szczególnie trudne w wielkich przedsiębiorstwach i instytucjach, w których wdrożenie programów korygujących na wszystkich komputerach w ciągu kilku dni jest bardzo poważnym wyzwaniem. Przy tak krótkim czasie upływającym między ujawnieniem luki, a opracowaniem wykorzystującego ją kodu, cenną pomocą dla administratorów jest usługa powiadamiania o nowych lukach oraz dystrybucji odpowiednich informacji o środkach ochrony lub programach korygujących. Ważne jest także zrozumienie potencjalnych zagrożeń związanych z każdą luką. 10 8 Doby 6 4 2 0 Styczeń Luty Marzec Kwiecień Maj Czerwiec Lipiec Sierpień Wrzesień Październik Listopad Grudzień Miesiąc Rys. 20. Średni czas (w dobach) opracowywania kodu wykorzystującego luki w zabezpieczeniach, w rozbiciu na miesiące 2004 r. Źródło: Symantec Corporation Luki w zabezpieczeniach aplikacji internetowych Aplikacje internetowe to technologie, które w charakterze interfejsu użytkownika wykorzystują przeglądarkę. Są one często udostępniane z serwerów WWW w trybie hostingu. Luki w zabezpieczeniach aplikacji internetowych są zazwyczaj wykorzystywane przez takie rodzaje ataków, jak wykonywanie skryptów z innej witryny (cross-site scripting) oraz wprowadzanie kodu SQL (SQL injection) i HTML (HTML injection). Luki takie mogą umożliwić hakerowi dostęp do poufnych informacji z baz danych bez konieczności łamania 44 Raport firmy Symantec na temat bezpieczeństwa w Internecie zabezpieczeń jakiegokolwiek serwera. W okresie od 1 lipca do 31 grudnia 2004 r. firma Symantec skatalogowała 670 luk w zabezpieczeniach aplikacji internetowych, co stanowi prawie połowę (48%) łącznej liczby luk ujawnionych w tym okresie (patrz rys. 21). Jest to wskaźnik znacznie wyższy niż w pierwszym półroczu 2004 r., gdy wyniósł 39%, oraz w analogicznym okresie roku 2003, gdy wyniósł 32%. Jak wskazano w omówieniu łatwości wykorzystania luk, luki w zabezpieczeniach aplikacji internetowych są często klasyfikowane jako łatwe do wykorzystania, a wzrost ich liczby znacznie przyczynił się do tak dużej łącznej liczby łatwych do wykorzystania luk. Wzrost ten przypuszczalnie wiąże się z coraz szerszym użyciem sieci WWW jako narzędzia do tworzenia i udostępniania aplikacji. W miarę, jak rośnie powszechność aplikacji internetowych, związane z nimi luki w zabezpieczeniach stają się powodem do coraz większego niepokoju. Przykładem tego jest Perl.Santy36, pierwszy robak atakujący aplikację internetową. Robak ten został wykryty w grudniu 2004 r., a jego celem była popularna aplikacja phpBB. Jak z tego wynika, osoby odpowiedzialne za bezpieczeństwo systemów muszą szybko reagować na nowe luki w zabezpieczeniach, wdrażać tylko te aplikacje internetowe, które są niezbędne do funkcjonowania przedsiębiorstwa lub instytucji, oraz kontrolować wszystkie wdrażane aplikacje internetowe pod kątem bezpieczeństwa. Udokumentowane luki w zabezpieczeniach 800 670 600 491 369 400 200 0 lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 21. Wzrost liczby luk w zabezpieczeniach aplikacji internetowych w okresie ostatnich 18 miesięcy Źródło: Symantec Corporation 36 http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html. Dokładniejsze omówienie robaka Santy można znaleźć w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu. 45 Raport firmy Symantec na temat bezpieczeństwa w Internecie Luki w zabezpieczeniach przeglądarek internetowych Przeglądarki internetowe to aplikacje o podstawowym znaczeniu i bardzo powszechnie stosowane. Kwestie bezpieczeństwa przeglądarek były w ostatnich kilku latach przedmiotem dużego zainteresowania opinii publicznej. Strategie ochrony systemów informatycznych tradycyjnie koncentrowały się na brzegach sieci, tj. serwerach, zaporach ogniowych i innych zasobach dostępnych z zewnątrz. Jednak ostatnio nastąpiło wyraźne przesunięcie zainteresowania, gdyż coraz ważniejsze staje się zabezpieczanie systemów po stronie klienta, głównie komputerów osobistych wykorzystywanych przez użytkowników. Raport firmy Symantec na temat bezpieczeństwa w Internecie przewidział tę tendencję i pilnie śledził ją w ciągu kilku ostatnich badanych okresów. Głośne problemy z bezpieczeństwem systemów po stronie klienta prawie wyłącznie były związane z lukami w zabezpieczeniach przeglądarki Microsoft Internet Explorer – jednej z najpowszechniej używanych aplikacji-klientów. Krytycyzm wobec tej przeglądarki, będący wynikiem wielu szeroko nagłośnionych luk w jej zabezpieczeniach, przyczynił się do promocji innych przeglądarek, zwłaszcza Mozilla, Firefox i Opera, jako bezpieczniejszych rozwiązań alternatywnych. W niniejszej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie po raz pierwszy porównujemy dane dotyczące luk w zabezpieczeniach różnych przeglądarek, a mianowicie Microsoft Internet Explorer, Mozilla, Mozilla Firefox, Opera i Apple Safari. Metodyka tej analizy jest opisana w Załączniku C do niniejszego Raportu i wymaga zwrócenia uwagi na pewne istotne zastrzeżenia przed wyciągnięciem jakichkolwiek wniosków. Oprócz tego należy przy rozpatrywaniu tych danych uwzględnić następujące okoliczności: W analizie uwzględniono tylko luki w zabezpieczeniach, które można było zweryfikować i które zostały potwierdzone przez dostawcę przeglądarki. Liczba luk w zabezpieczeniach przeglądarek WWW może nie odpowiadać dokładnie liczbie biuletynów dotyczących ochrony lub programów korygujących opublikowanych przez dostawców. Jest to spowodowane trudnościami w rozpoznawaniu poszczególnych luk w przypadku bardzo skomplikowanej często metody ataku z użyciem przeglądarki. Nie każda wykryta luka w zabezpieczeniach jest wykorzystywana. W chwili opracowywania niniejszego raportu nie był znany żaden przypadek masowego wykorzystania luki w zabezpieczeniach jakiejkolwiek przeglądarki poza przeglądarką Microsoft Internet Explorer. Firma Symantec przewiduje, że sytuacja ta ulegnie zmianie, gdy wzrośnie popularność innych przeglądarek. W okresie od 1 lipca do 31 grudnia 2004 r. firma Symantec udokumentowała 13 luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer (patrz rys. 22). Jest to liczba o wiele większa niż w pierwszym półroczu 2004 r., w którym firma Symantec udokumentowała tylko 3 luki w zabezpieczeniach tej przeglądarki oraz w którym wykryto również mniej luk w zabezpieczeniach wszystkich przeglądarek łącznie. Jednak liczba wykrytych luk w zabezpieczeniach przeglądarki Internet Explorer spadła w stosunku do maksymalnej wielkości 17, jaka wystąpiła w drugim półroczu 2003 r. Spadek ten przypuszczalnie jest spowodowany dwoma czynnikami: po pierwsze wysiłkami podjętymi przez firmę Microsoft na rzecz zabezpieczenia przeglądarki i skorygowania utajonych luk w jej zabezpieczeniach, a po drugie przeniesieniem zainteresowania badaczy luk na inne przeglądarki, sprzedawane lub promowane jako rzekomo bezpieczne. 46 Raport firmy Symantec na temat bezpieczeństwa w Internecie 25 Udokumentowane luki w zabezpieczeniach Mozilla Firefox Mozilla Browser Microsoft Internet Explorer Apple Safari Opera 20 15 10 5 0 styczeń-czerwiec 2003 r. lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 22. Luki w zabezpieczeniach przeglądarek w latach 2003-2004 Źródło: Symantec Corporation W drugim półroczu 2004 r. wykryto 21 luk w zabezpieczeniach przeglądarek Mozilla. Jest to ogromny wzrost w stosunku do poprzedniego okresu, gdy udokumentowano tylko jedną taką lukę, oraz w stosunku do analogicznego okresu poprzedniego roku, gdy liczba ta wyniosła 7. Zwraca uwagę fakt, że po raz pierwszy wykryto więcej luk w zabezpieczeniach przeglądarki Mozilla niż przeglądarki Microsoft Internet Explorer. Nasilenie badań nad bezpieczeństwem przeglądarek Mozilla jest bezpośrednim skutkiem ich rosnącej popularności i coraz szerszego wdrażania, co z kolei jest reakcją na częste i mocno nagłośnione przypadki wykorzystywania luk w zabezpieczeniach przeglądarki Internet Explorer. W drugim półroczu 2004 r. udokumentowano 6 luk w zabezpieczeniach przeglądarki Opera, co oznacza wzrost w stosunku do pierwszego półrocza tego roku, gdy liczba ta wyniosła 4. W drugim półroczu 2003 r. firma Symantec udokumentowała 3 luki w zabezpieczeniach tej przeglądarki. Ten stały wzrost widoczny w ciągu ostatnich 18 miesięcy odzwierciedla rosnące zainteresowanie badaczy tą przeglądarką, aczkolwiek była ona przedmiotem zainteresowania już od jakiegoś czasu. Najwięcej luk w zabezpieczeniach przeglądarki Opera odnotowano w pierwszym półroczu 2003 r., mianowicie 9. Interesujące jest, że luki w zabezpieczeniach tej przeglądarki są wykrywane i publikowane regularnie od co najmniej dwóch lat. Od czasu pojawienia się tej przeglądarki, Opera jest popularna wśród niszowej grupy użytkownikówzapaleńców. Jest możliwe, że te stałe badania są prowadzone właśnie przez tę grupę użytkowników. W drugim półroczu 2004 r. nie wystąpiły żadne potwierdzone przez dostawcę luki w zabezpieczeniach przeglądarki Safari. Jest to fakt cokolwiek zaskakujący, jeśli wziąć pod uwagę rosnącą popularność systemu Mac OS® X, która z kolei jest związana z sukcesem urządzenia iPod. W pierwszym półroczu 2004 r. wykryto dwie luki w zabezpieczeniach przeglądarki Safari, a w drugim półroczu 2003 r. tylko jedną. 47 Raport firmy Symantec na temat bezpieczeństwa w Internecie Liczba wykrywanych luk w zabezpieczeniach przeglądarki Safari jest jak dotąd zbyt niska, by mogła sugerować jakiekolwiek tendencje. Może to być związane z niezdolnością badaczy do wykrycia luk bądź po prostu wiązać się z brakiem ich zainteresowania tą przeglądarką z powodu jej krótkiej obecności na rynku i ograniczonego zakresu wdrożenia. Jednak firma Symantec uważa, iż w miarę jak pozycja przeglądarki Safari na rynku będzie się umacniać, a liczba jej użytkowników będzie rosnąć, badacze będą nadal znajdować luki w jej zabezpieczeniach. Ogólny spadek liczby luk w zabezpieczeniach przeglądarki Internet Explorer, obserwowany w ciągu całego roku 2004, jest prawdopodobnie spowodowany dwoma czynnikami: po pierwsze wysiłkami podjętymi przez firmę Microsoft na rzecz zabezpieczenia przeglądarki, a po drugie przeniesieniem zainteresowania badaczy luk na coraz bardziej popularne przeglądarki alternatywne. Jak dotąd prawie wszystkie doniesienia o wykorzystaniu luk w zabezpieczeniach przeglądarek internetowych w warunkach rzeczywistej eksploatacji dotyczyły przeglądarki Microsoft Internet Explorer. Chociaż wiarygodnych ataków na przeglądarki Mozilla, Mozilla Firefox, Opera i Safari w warunkach rzeczywistej eksploatacji było niewiele (o ile w ogóle jakieś były), dopiero przyszłość pokaże, czy przeglądarki te spełnią oczekiwania wielu użytkowników. Luki w zabezpieczeniach przeglądarek internetowych w rozbiciu na poziomy istotności Spośród 13 luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer udokumentowanych przez firmę Symantec w okresie od 1 lipca do 31 grudnia 2004 r., 9 zostało zakwalifikowanych do wysokiego poziomu istotności. W pierwszym półroczu tego roku wykryto 3 luki i wszystkie zostały zakwalifikowane do wysokiego poziomu istotności. W drugim półroczu 2003 r. spośród 17 wykrytych luk, 16 było o wysokim poziomi istotności. We wszystkich badanych okresach większość potwierdzonych przez dostawcę luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer zaliczano do wysokiego poziomu istotności. Średnia ocena istotności potwierdzonych przez dostawcę luk w zabezpieczeniach przeglądarki Microsoft Internet Explorer jest nieco wyższa niż dolna granica zakresu oceny zaliczającego do wysokiego poziomu istotności. W drugim półroczu 2004 r. do wysokiego poziomu istotności zakwalifikowano 11 spośród 21 wszystkich wykrytych luk w zabezpieczeniach przeglądarek Mozilla. Natomiast w pierwszym półroczu tego roku do wysokiego poziomu istotności zaliczono jedyną wykrytą w tych przeglądarkach lukę. W drugim półroczu 2003 r. udokumentowano 7 luk w zabezpieczeniach przeglądarek Mozilla, z czego 4 były o wysokim poziomie istotności. Średnia ocena istotności luk w zabezpieczeniach przeglądarek Mozilla leży w zakresie umiarkowanego poziomu istotności, ale zbliża się do jego górnej granicy. W ostatnim badanym okresie wykryto 6 luk w zabezpieczeniach przeglądarki Opera, z czego tylko jedna została zakwalifikowana do wysokiego poziomu istotności. W poprzednim półroczu udokumentowano 4 luki, z czego ani jedna nie została zaliczona do wysokiego poziomu istotności. W drugim półroczu 2003 r. do wysokiego poziomu istotności zakwalifikowano dwie spośród trzech skatalogowanych przez firmę Symantec luk w zabezpieczeniach przeglądarki Opera. Średnia ocena istotności luk w zabezpieczeniach przeglądarki Opera leży w zakresie umiarkowanego poziomu istotności. Jak wspomniano w poprzednim podrozdziale, w okresie od 1 lipca do 31 grudnia 2004 r. nie wykryto ani jednej luki w zabezpieczeniach przeglądarki Safari. Co więcej, w poprzednim okresie półrocznym nie wykryto w tej przeglądarce żadnych luk o wysokim poziomie istotności. W drugim półroczu 2003 r. do 48 Raport firmy Symantec na temat bezpieczeństwa w Internecie wysokiego poziomu istotności zaliczono jedyną lukę wykrytą w przeglądarce Safari. Średnia ocena istotności luk w zabezpieczeniach przeglądarki Safari leży w zakresie wysokiego poziomu istotności, ale ponieważ liczba wszystkich luk zarejestrowanych w bazie danych wynosi tylko 4, taka średnia jest zniekształcona z uwagi na fakt, że próbka jest bardzo mała i wystąpiła w niej jedna luka o wysokim poziomie istotności37. 37 http://www.securityfocus.com/bid/7518 49 Raport firmy Symantec na temat bezpieczeństwa w Internecie Tendencje dotyczące destrukcyjnego kodu Niniejszy rozdział Raportu firmy Symantec na temat bezpieczeństwa w Internecie zawiera analizę zmian sytuacji w zakresie destrukcyjnego kodu w drugim półroczu 2004 r. Firma Symantec gromadzi dane z ponad 120 mln komputerów osobistych, w których wdrożono jej produkty antywirusowe, zarówno u użytkowników indywidualnych jak i w środowiskach korporacyjnych. Technologie Symantec Digital Immune System™ oraz Scan and Deliver umożliwiają klientom automatyzację procesu zgłaszania takich danych. Poniższa dyskusja dotyczy próbek destrukcyjnego kodu zgłoszonych do firmy Symantec w celu analizy w okresie od 1 lipca do 31 grudnia 2004 r. Niniejszy rozdział zawiera analizę i omówienie destrukcyjnego kodu w dwóch aspektach: po pierwsze z podziałem na poszczególne przykłady destrukcyjnego kodu, takie jak MyDoom i Netsky, a po drugie z podziałem na kategorie lub typy kodu, takie jak wirusy i robaki. W niektórych przypadkach dana rodzina destrukcyjnego kodu, jak np. wspomniane wyżej rodziny MyDoom i Netsky, obejmuje pewną liczbę wariantów. Wariant jest to nowa wersja należąca do tej samej rodziny, wykazująca niewielkie różnice, ale oparta na wersji oryginalnej. Dla celów niniejszego raportu poszczególne warianty danej rodziny są traktowane jako oddzielne próbki ze względu na różnice w ich funkcjonalności. W poprzednich edycjach Raportu firmy Symantec na temat bezpieczeństwa w Internecie rozdział poświęcony tendencjom w zakresie destrukcyjnego kodu obejmował również oprogramowanie typu adware i oprogramowanie szpiegowskie. Jednak ponieważ te nowe zagrożenia coraz bardziej narastają, w tym wydaniu raportu poświęcono im oddzielny rozdział. W niniejszym rozdziale „Tendencje dotyczące destrukcyjnego kodu” omówiono następujące tematy: • Dziesięć najczęstszych próbek destrukcyjnego kodu • Wirusy i robaki na platformę Win32 • Destrukcyjny kod na platformę Linux® • Narażenie informacji poufnych • Konie trojańskie • Destrukcyjny kod do urządzeń mobilnych • Destrukcyjny kod atakujący usługi P2P (sieci równorzędne), IM (natychmiastowe przesyłanie wiadomości), IRC i CIFS • Oprogramowanie typu bot • Nowe tendencje w zakresie oprogramowania typu bot • Destrukcyjny kod wykorzystywany do osiągania zysku Chociaż poniższe omówienie zawiera również informacje na temat zapobiegania poszczególnym analizowanym zagrożeniom i łagodzenia ich skutków, firma Symantec zaleca przede wszystkim bezwzględne stosowanie najlepszych procedur w zakresie bezpieczeństwa w celu zapewnienia generalnej ochrony przed atakami z użyciem destrukcyjnego kodu. Dla zapobieżenia infekcji przez destrukcyjny kod, niezbędne jest wdrożenie najlepszych procedur bezpieczeństwa. Administratorzy powinni instalować aktualne programy korygujące, zwłaszcza w przypadku komputerów udostępniających usługi publiczne i komputerów, do których można uzyskać dostęp przez zaporę ogniową lub znajdujących się na brzegach sieci, takich jak serwery HTTP, FTP, SMTP i DNS. Serwery poczty elektronicznej powinny być tak skonfigurowane, by dopuszczać jedynie typy plików wymagane do prowadzenia działalności. Można również 50 Raport firmy Symantec na temat bezpieczeństwa w Internecie użyć innych metod przesyłania plików, np. serwerów plików, usługi FTP bądź usługi SSH. Administratorzy odpowiedzialni za ochronę powinni także instruować pracowników, aby nigdy nie uruchamiali oprogramowania, które nie zostało zatwierdzone przez kierownictwo przedsiębiorstwa lub instytucji. Firma Symantec zaleca, by użytkownicy wdrażali dogłębną ochronę38, w tym oprogramowanie antywirusowe i zaporę ogniową. Użytkownicy powinni zapewnić, by na wszystkich komputerach biurkowych, przenośnych i serwerach były instalowane wszystkie niezbędne programy korygujące dostarczane przez producenta systemu operacyjnego. Użytkownicy nie powinni nigdy wyświetlać, otwierać ani aktywować żadnych załączników do poczty elektronicznej, chyba że dany załącznik jest oczekiwany, pochodzi ze znanego, godnego zaufania źródła oraz jego przeznaczenie jest znane. Dziesięć najczęstszych próbek destrukcyjnego kodu Podobnie jak w poprzednich edycjach Raportu firmy Symantec na temat bezpieczeństwa w Internecie, wśród próbek destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w ostatnim półroczu 2004 r. dominowały robaki powodujące masowe rozsyłanie poczty39. Osiem spośród dziesięciu próbek destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w badanym okresie to różne warianty takich robaków, obserwowanych również w poprzednich badanych okresach: Netsky40, Sober41, Beagle42 oraz MyDoom43. Robaki powodujące masowe rozsyłanie poczty mogą zainfekować wielką liczbę użytkowników, gdyż droga ich przenoszenia – poczta elektroniczna – jest jednym z najpowszechniejszych zastosowań Internetu. Jednak w miarę, jak użytkownicy stają się coraz bardziej świadomi kwestii bezpieczeństwa, rośnie wyrafinowanie robaków. Dlatego robaki skutecznie rozprzestrzeniające się przez pocztę elektroniczną używają obecnie dodatkowych mechanizmów propagacji, takich jak sieci równorzędne, w związku z czym trudniej jest je eliminować. Spośród ośmiu robaków tego typu występujących w rankingu dziesięciu najczęściej zgłaszanych zagrożeń, cztery wykorzystywały takie dodatkowe mechanizmy propagacji. Przykładem jest Beagle.AV 44, który rozprzestrzeniał się za pośrednictwem poczty elektronicznej i sieci równorzędnych, a równocześnie dezaktywował produkty antywirusowe w celu utrudnienia jego usunięcia. Chociaż kilka spośród próbek destrukcyjnego kodu zajmujących czołowe pozycje w rankingu występowało także w poprzednich edycjach Raportu firmy Symantec na temat bezpieczeństwa w Internecie, pojawiły się również nowe, jak np. wspomniany już Beagle.AV (patrz tab. 6). Gdy dany program destrukcyjny zdoła skutecznie zainfekować wielką liczbę użytkowników, często tworzone są jego nowe warianty, gdyż występuje większe prawdopodobieństwo, że podobne techniki będą znowu skuteczne. Na przykład użycie sieci równorzędnych w połączeniu z robakami powodującymi masowe rozsyłanie poczty stało się tak powszechne, że ten mechanizm propagacji jest stosowany przez aż cztery spośród ośmiu robaków tej kategorii zajmujących czołowe pozycje w rankingu w badanym okresie (wszystkie one są wariantami robaków Netsky, Beagle i MyDoom). 38 Dogłębna obrona (defense in depth) to podejście do ochrony, przy którym każdy system w sieci jest zabezpieczony w maksymalnym możliwym stopniu. Obejmuje m.in. wdrożenie systemów antywirusowych, zapór ogniowych i systemów wykrywania włamań. Robak powodujący masowe rozsyłanie poczty (mass-mailing worm) to aplikacja, która przenosi się głównie dołączając do wiadomości e-mail wysyłanych do innych użytkowników kopie swojego kodu wykonywalnego. 40 http://securityresponse.symantec.com/avcenter/venc/data/[email protected] 41 http://securityresponse.symantec.com/avcenter/venc/data/[email protected] 42 http://securityresponse.symantec.com/avcenter/venc/data/[email protected] 43 http://securityresponse.symantec.com/avcenter/venc/data/[email protected] 44 http://securityresponse.symantec.com/avcenter/venc/data/[email protected] 39 51 Raport firmy Symantec na temat bezpieczeństwa w Internecie Pozycja w rankingu 1 2 3 4 5 6 7 8 9 10 Nazwa Netsky.P Sober.I Gaobot Spybot Beagle.AV Beagle.X Mydoom.M Netsky.Z Netsky.D Beagle.AW Tabela 6. Dziesięć najczęściej zgłaszanych do firmy Symantec próbek destrukcyjnego kodu Źródło: Symantec Corporation Najczęściej zgłaszanym do firmy Symantec przykładem destrukcyjnego kodu w okresie od 1 lipca do 31 grudnia 2004 r. był robak Netsky.P 45. Warianty tego robaka, który po raz pierwszy został zaobserwowany 16 lutego 2004 r., zajmują trzy spośród dziesięciu czołowych pozycji w rankingu najczęściej zgłaszanych próbek destrukcyjnego kodu w badanym okresie. Netsky rozprzestrzenia się w archiwum z rozszerzeniem .zip, co umożliwia mu unikanie rozpoznania przez filtry. Ponieważ pliki z rozszerzeniem .zip są generalnie uznawane za godne zaufania, występuje duże prawdopodobieństwo, że użytkownik rozpakuje plik i niechcący uruchomi wirusa. Drugim w rankingu najczęściej zgłaszanych próbek destrukcyjnego kodu w drugim półroczu 2004 r. jest Sober.I 46, który w tym okresie po raz pierwszy pojawił się w tym rankingu. Sober.I to nowy wariant robaka Sober, pierwszy raz zaobserwowany 19 listopada 2004 r. i od tego czasu szybko się rozprzestrzeniający. Oryginalny robak Sober został po raz pierwszy zgłoszony 24 października 2003 r. Był to robak powodujący masowe rozsyłanie poczty, który używał własnego mechanizmu obsługi protokołu SMTP. Robak sam się rozsyłał w formie załącznika do wiadomości e-mail na adresy pobrane z zainfekowanego komputera. Poprzednie warianty rodziny Sober także były skuteczne, czego świadectwem jest fakt, że cztery z nich wystąpiły wśród 50 najczęściej zgłaszanych próbek destrukcyjnego kodu w dwóch poprzednich badanych okresach. W drugim półroczu 2004 r. w dalszym ciągu obserwowano wzrost znaczenia oprogramowania typu bot. Jego przykłady zajmują dwie spośród dziesięciu czołowych pozycji w rankingu, podczas gdy w poprzednim badanym okresie występował w nim tylko jeden przykład takiego oprogramowania. Program Gaobot zajął trzecią pozycję w rankingu w ostatnim półroczu, a Spybot – czwartą. Gaobot zajmował także trzecią pozycję w rankingu w poprzednim badanym okresie, natomiast Spybot nie występował wówczas na liście dziesięciu najczęstszych próbek destrukcyjnego kodu. Obecność tych dwóch próbek oprogramowania typu bot wśród dziesięciu czołowych pozycji rankingu może wskazywać, że jego użycie w dalszym ciągu wzrasta, co zauważyliśmy już w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie. Może to być spowodowane dużym zróżnicowaniem funkcji, jakie oprogramowanie tego typu może wykonywać na zainfekowanych komputerach. Temat ten jest dokładniej omówiony niżej w podrozdziale poświęconym oprogramowaniu typu bot. 45 46 52 http://securityresponse.symantec.com/avcenter/venc/data/[email protected] http://securityresponse.symantec.com/sarc/sarc.nsf/html/[email protected] Raport firmy Symantec na temat bezpieczeństwa w Internecie Piątą i szóstą pozycję w rankingu najczęściej zgłaszanych próbek destrukcyjnego kodu w drugim półroczu 2004 r. zajmują warianty robaka Beagle powodującego masowe rozsyłanie poczty. W poprzednim badanym okresie Beagle.M zajmował ósmą pozycję w tym rankingu. Beagle używa podobnej techniki propagacji co Netsky, idzie jednak o krok dalej i stosuje pliki .zip zabezpieczone hasłem47. Taktyka ta wykorzystuje fakt, że użytkownicy są bardziej skłonni ufać plikom zabezpieczonym w taki sposób. Ponadto umożliwia to przechodzenie takich załączników przez wiele bram i skanerów poczty elektronicznej, które nie są w stanie skanować plików zabezpieczonych hasłem. Wirusy i robaki na platformę Win32 Zagrożenia na platformę Win32 to programy wykonywalne działające z wykorzystaniem interfejsu programowania (API) Win3248, który stanowi podstawę opracowywania oprogramowania do systemów operacyjnych Windows. Taki program destrukcyjny działa w przynajmniej jednym systemie na platformie Win32. Liczba zagrożeń na platformę Win32 znacznie wzrosła w 2004 r. (patrz rys. 23). Wzrost ten został po raz pierwszy odnotowany w drugim półroczu 2002 r., a obecnie jest oczywiste, że trend ten się utrzymuje, chociaż w drugim półroczu 2004 r. tempo tego wzrostu spadło. W okresie od 1 lipca 2004 r. do 31 grudnia 2004 r. firma Symantec udokumentowała ponad 7360 nowych wariantów wirusów i robaków na platformę Win32. Stanowi to wzrost o 64% w stosunku do pierwszego półrocza tego roku, gdy liczba ta wyniosła 4496, oraz o ponad 332% w stosunku do drugiego półrocza 2003 r., gdy liczba ta wyniosła 1702. Według stanu na dzień 31 grudnia 2004 r., łączna liczba wariantów destrukcyjnego kodu na platformę Win32 była bliska 17 500. Łączna liczba wirusów i robaków 8,000 7,360 6,000 4,496 4,000 1,702 2,000 994 445 687 0 I–VI 2002 r. VII–XII 2002 r. I–VI 2003 r. VII–XII 2003 r. I–VI 2004 VII–XII 2004 Okres Rys. 23. Nowe wirusy i robaki na platformę Win32 w rozbiciu na poszczególne okresy półroczne w latach 2002-2004 Źródło: Symantec Corporation 47 48 Hasło wymagane do otwarcia archiwum było podane w treści wiadomości e-mail bądź w postaci pliku w formacie JPEG załączonego do wiadomości. Bardziej szczegółowe informacje można znaleźć pod adresem: http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle@mm!zip.html. Interfejs programowania (API – application program interface) to zestaw narzędzi specyficznych dla danego systemu operacyjnego, umożliwiający programistom pisanie oprogramowania do tego systemu. Interfejs programowania Win32 API stanowi standard opracowywania oprogramowania na platformę Windows. 53 Raport firmy Symantec na temat bezpieczeństwa w Internecie W ostatnich kilku latach zagrożenia na platformę Win32 ogromnie się rozpowszechniły i obecnie występują one częściej niż zagrożenia oparte na technikach skryptów i makr razem wzięte. Na początku częściej występowały zagrożenia oparte na technikach skryptów i makr, ale sytuacja ta szybko uległa zmianie. Przyczyną tego jest prawdopodobnie fakt, że po pojawieniu się nowej technologii łatwiej jest opracować do niej destrukcyjny kod przy użyciu skryptu lub makra, gdyż język skryptowy jest łatwiejszy do opanowania i użycia niż bardziej skomplikowane języki kompilowane. Natomiast w miarę, jak autorzy kodu coraz lepiej zapoznają się z nową technologią i jej interfejsami programowania, coraz bardziej korzystne staje się kompilowanie zagrożeń w kodzie macierzystym. Zagrożenia oparte na technikach skryptów i makr wykorzystują obecność odpowiedniego mechanizmu (hosta skryptów), który interpretuje i wykonuje kod. Jeśli taki interpreter nie jest dostępny na danym komputerze lub został wyłączony przez reguły ochrony, skrypt nie zostanie wykonany. Nie dotyczy to programu w kodzie macierzystym, który do wykonania nie wymaga żadnego interpretera. Ponieważ destrukcyjny kod napisany w języku skryptowym lub jako makro jest również łatwiejszy do wykrycia przez oprogramowanie antywirusowe niż skompilowana aplikacja, hakerzy piszący taki kod skłonni są raczej używać języków kompilowanych i dzięki temu zwiększyć skuteczność „przeżycia” destrukcyjnego kodu. Tylko w roku 2004 firma Symantec udokumentowała ponad 11 800 próbek (bez powtórzeń) zagrożeń na platformę Win32. Jest to liczba większa niż łączna liczba wirusów na platformę DOS49 udokumentowanych w latach 1986-1996, która wyniosła 10 tys. Tylko w październiku 2004 r. firma Symantec udokumentowała 1500 próbek zagrożeń na platformę Win32, a więc prawie tyle samo, co w całym drugim półroczu 2003 r., gdy było ich 1702. Destrukcyjny kod na platformę Linux® W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie ostrzegaliśmy, że wkrótce mogą pojawić się robaki wykorzystujące luki w zabezpieczeniach systemu Linux i aplikacji linuksowych50. Wydaje się, że ostrzeżenie to było w pełni uzasadnione. 21 grudnia 2004 r. doniesiono o robaku Santy51. Był to pierwszy wykryty robak atakujący aplikację internetową, rozprzestrzeniający się w sieci. Już wcześniej istniały robaki wykorzystujące serwery WWW i związane z nimi komponenty, ale Santy był pierwszym robakiem, który wykorzystywał lukę w zabezpieczeniach oddzielnej aplikacji działającej na serwerze WWW. Dokładniej mówiąc, wykorzystywał on lukę w zabezpieczeniach aplikacji phpBB 52, która umożliwia wstrzykiwanie skryptu. Santy jest interesujący z kilku powodów. Po pierwsze, chociaż zagraża on głównie systemom Linux, może także zagrozić komputerom, na których działa aplikacja phpBB w systemie Windows lub innych systemach operacyjnych. Santy używa wyszukiwarki Google do lokalizowania systemów zawierających możliwe do wykorzystania luki w zabezpieczeniach. Jest to również pierwszy robak rozprzestrzeniający się w sieci, który wykorzystuje luki w zabezpieczeniach aplikacji internetowej, a nie luki w zabezpieczeniach systemu operacyjnego bądź samego serwera WWW. Firma Symantec przewiduje, że Santy może być pierwszym z całej nowej serii robaków wykorzystujących tego rodzaju luki w zabezpieczeniach. Santy został zaimplementowany jako skrypt w języku Perl, co ułatwia modyfikowanie do i dodawanie do niego nowych możliwości funkcjonalnych. Pierwsza wersja robaka Santy jedynie przenosiła się do atakowanego systemu i nadpisywała niektóre strony WWW w celu zniszczenia serwisu. Dwie kolejne wersje, 49 Przed wprowadzeniem systemu operacyjnego Windows 95, systemem operacyjnym używanym przez większość komputerów osobistych był DOS (Disk Operating System). Wczesne wersje systemu Windows działały po prostu jako aplikacja w systemie operacyjnym DOS. Dlatego większość destrukcyjnego kodu opracowywanego przed 1995 r. była przeznaczona do systemu DOS, podobnie jak większość współczesnego destrukcyjnego kodu jest przeznaczona do systemu Windows. 50 Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI, wrzesień 2004, str. 45: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539. 51 http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html 52 http://www.securityfocus.com/bid/10701 54 Raport firmy Symantec na temat bezpieczeństwa w Internecie Santy.B i Santy.C, zostały tak zmodyfikowane, że instalowały ponadto na zainfekowanym systemie serwer tylnego wejścia i oprogramowanie typu bot obsługujące IRC, a ponadto używały różnych wyszukiwarek do lokalizowania systemów podatnych na atak. Stało się to konieczne, ponieważ serwis Google zaczął odfiltrowywać żądania wyszukiwania generowane przez tego robaka. Oprócz tego te warianty robaka Santy potrafiły wykorzystywać podobne luki w zabezpieczeniach umożliwiające wstrzykiwanie kodu w różnych innych aplikacjach internetowych, poza phpBB. Luka w zabezpieczeniach wykorzystywana przez robaka Santy została opublikowana na forum dyskusyjnym BugTraq w dniu 11 lipca 2004 r. W dniu 18 listopada 2004 r. dostawca aplikacji phpBB potwierdził jej istnienie, a następnego dnia opublikował do niej program korygujący. Od tamtego dnia do chwili pierwszego doniesienia o robaku Santy upłynął nieco ponad miesiąc, a więc dostatecznie dużo czasu, by większość użytkowników mogła przetestować program korygujący i wdrożyć go w systemach podatnych na atak. Pomimo to pozostało bardzo dużo systemów niezabezpieczonych, które robak mógł zainfekować. Przypuszczalnie jest to związane z faktem, że wdrażanie programów korygujących w systemie Linux jest znacznie bardziej skomplikowane niż w systemach firmy Microsoft. Robak Santy nadpisywał strony WWW w zainfekowanym serwerze, zastępując je stroną zawierającą tekst „This site is defaced!!! NeverEverNoSanity WebWorm generation X” (gdzie X jest liczbą witryn zniszczonych przez dany szczep robaka). W czasie opracowywania niniejszego Raportu, kwerenda w wyszukiwarce Google wyszukująca powyższy tekst zwracała ponad 30 tys. wyników53. Widać z tego, jak ważne jest, by użytkownicy byli informowani o nowych lukach w zabezpieczeniach i dostępności programów korygujących, a także o sposobach obejścia zagrożeń i strategiach niwelowania ich skutków. W przypadkach, gdy luka w zabezpieczeniach zagraża aplikacji lub usłudze, które muszą być dostępne publicznie, jak to ma miejsce w przypadku aplikacji internetowych, programy korygujące powinny być wdrażane jak najszybciej. Luki w zabezpieczeniach usług internetowych zwykle nie mogą być eliminowane przy użyciu typowych strategii (tj. normalnie rekomendowanych dla innych usług dostępnych zdalnie), takich jak użycie zapory ogniowej do blokowania lub filtrowania ruchu przechodzącego przez port, gdyż usługi takie mają krytyczne znaczenie dla przedsiębiorstwa, które musi wymieniać dane z użytkownikami zewnętrznymi. Narażenie informacji poufnych Zapewne w każdym komputerze znajdują się informacje, które ich właściciel wolałby zachować w poufności. Takie informacje, jak adresy e-mail, poufne dokumenty, buforowane dane uwierzytelniające czy informacje finansowe, znajdują się na dyskach komputerów zarówno korporacyjnych, jak i domowych. Gdy komputer zostanie zainfekowany przez destrukcyjny kod, wszystkie takie informacje mogą być odczytane, ujawnione i zmodyfikowane bez upoważnienia. Niektóre programy destrukcyjne są zresztą opracowywane specjalnie w celu kradzieży poufnych informacji z zainfekowanego komputera. Liczba zagrożeń umożliwiających ujawnienie informacji poufnych w ciągu trzech ostatnich badanych okresów stale rosła. W okresie od 1 lipca do 31 grudnia 2004 r. przykłady destrukcyjnego kodu ujawniające informacje poufne stanowiły 54% wśród 50 najczęściej zgłaszanych firmie Symantec próbek destrukcyjnego kodu, podczas gdy w pierwszym półroczu 2004 r. wskaźnik ten wynosił 44%, a w drugim półroczu 2003 r. – 36%. Oznacza to wzrost o 23% w stosunku do pierwszego półrocza 2004 r. i o 50% w stosunku do 53 Liczba ta może obejmować również strony WWW, na których robak Santy jest jedynie omawiany, np. strony dostawców rozwiązań antywirusowych. 55 Raport firmy Symantec na temat bezpieczeństwa w Internecie analogicznego okresu roku poprzedniego (patrz rys. 24). Wzrost ten częściowo jest spowodowany coraz większym rozpowszechnianiem się oprogramowania typu bot, które dzięki swoim funkcjom dostępu zdalnego umożliwia ujawnienie wszystkich informacji z zainfekowanego komputera. (Dokładniejsze omówienie tego tematu znajduje się poniżej w podrozdziale „Oprogramowanie typu bot”). Zagrożenie ujawnieniem informacji występuje w przypadku prawie wszystkich typów destrukcyjnego kodu, w tym w przypadku koni trojańskich, robaków, wirusów i programów instalujących serwery tylnego wejścia. Wiele robaków i koni trojańskich zawiera, oprócz innych funkcji, również funkcje rejestrowania sekwencji naciśnięć klawiszy i funkcje tylnego wejścia. Taką funkcję rejestrowania sekwencji naciśnięć klawiszy – oprócz mechanizmu propagacji i innych mechanizmów destrukcyjnych – zawierały np. różne warianty Udział procentowy wśród 50 najczęściej zgłaszanych zagrożeń robaka MyDoom. 60% 54% 50% 44% 40% 36% 30% 20% 10% 0% lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 24. Zagrożenia dla poufności informacji ze strony destrukcyjnego kodu Źródło: Symantec Corporation Niektóre programy destrukcyjne rejestrujące sekwencje naciśnięć klawiszy, jak np. niektóre warianty programu Spytbot, jedynie rejestrują wszystkie sekwencje naciśniętych klawiszy w zainfekowanym komputerze. Inne mogą wykonywać bardziej skomplikowane funkcje zmierzające do ujawnienia informacji. Na przykład koń trojański Banker 54 czeka aż użytkownik otworzy w przeglądarce WWW serwis bankowy online i wówczas rejestruje informacje uwierzytelniające podawane przez użytkownika. Inne, takie jak rodzina Bancos 55, czekają aż użytkownik odwiedzi określony serwis bankowy online, po czym imitują interfejs serwisu bankowego w celu przechwycenia poufnych informacji użytkownika. Informacje te są następnie przesyłane do hakera znajdującego się w odległej lokalizacji, który może użyć ich w celu kradzieży danych osobowych lub po prostu zalogować się jako użytkownik i dokonać przelewu z konta. Technika ta jest podobna do phishingu, który omawiamy w rozdziale „Dodatkowe zagrożenia dla 54 55 56 http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.banker.b.html http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.bancos.html Raport firmy Symantec na temat bezpieczeństwa w Internecie bezpieczeństwa” niniejszego Raportu. Różnica polega jednak na tym, że właściwy phishing polega na wysyłaniu wiadomości e-mail w celu skłonienia użytkowników do łączenia się z fałszywą witryną WWW, podczas gdy powyższe przykłady dotyczą koni trojańskich imitujących interfejs użytkownika odpowiedniego serwisu. Program typu serwer tylnego wejścia (back door server), zwany krócej po prostu tylnym wejściem, umożliwia hakerowi uzyskanie prawie nieograniczonego zdalnego dostępu do zainfekowanego komputera. Haker może użyć tylnego wejścia do zainstalowania w komputerze innych programów, np. koni trojańskich rejestrujących sekwencje naciśnięć klawiszy bądź innego oprogramowania monitorującego. Oprócz tego tylne wejście może umożliwić hakerowi zdalne przeglądanie zawartości plików zapisanych w komputerze lub odczytanie haseł przechowywanych w lokalnym buforze. Bufor haseł może zawierać informacje umożliwiające zalogowanie na przykład do witryn bankowych online, jeśli użytkownik tak ustawił konfigurację przeglądarki WWW, że zapisuje ona takie informacje. Niektóre tylne wejścia mogą nawet umożliwić hakerowi w odległej lokalizacji włączenie kamery internetowej podłączonej do komputera i oglądanie obrazu wideo z tej kamery w trybie strumieniowym bez wiedzy użytkownika56. Użytkownicy mogą chronić się przed takim zagrożeniami przestrzegając zasady, by nigdy nie uruchamiać nieznanych aplikacji, zwłaszcza otrzymanych w wiadomości e-mail bądź pobranych ze źródła, którego wiarygodność nie jest pewna. Powinni oni także unikać logowania się do kont poczty elektronicznej opartej na WWW i do witryn bankowych z publicznych terminali komputerowych, gdyż nie można zweryfikować integralności takich systemów. Oprócz tego nie powinni używać tego samego hasła do uwierzytelniania się w różnych aplikacjach, gdyż wówczas złamanie jednego hasła umożliwia hakerowi uzyskanie dostępu do kilku źródeł poufnych danych. Ochronie przed złamaniem hasła sprzyja częsta zmiana haseł. Ponadto firma Symantec zaleca użytkownikom, aby wyłączyli w przeglądarce WWW buforowanie danych (identyfikatora i hasła) umożliwiających dostęp do witryn WWW. Konie trojańskie Konie trojańskie są głównym sposobem ujawniania informacji. Koń trojański to program, który celowo wprowadza użytkownika w błąd co do swojej funkcjonalności przez mylącą nazwę, lokalizację lub wygląd. Koń trojański nie replikuje się samodzielnie, ale może spowodować szkody lub w jakiś sposób złamać zabezpieczenia komputera. W pierwszym półroczu 2004 r. programy tej kategorii zajmowały drugą pozycję w rankingu liczby zgłoszeń od klientów firmy Symantec, ustępując tylko robakowi MyDoom. W drugim półroczu tego roku konie trojańskie zajęły już pierwszą pozycję w tym rankingu, a przy tym stanowiły 33% spośród 50 najczęściej zgłaszanych firmie Symantec próbek destrukcyjnego kodu (patrz rys. 25). 56 http://www.securityfocus.com/news/8893 57 Raport firmy Symantec na temat bezpieczeństwa w Internecie Odsetek 50 najczęstszych zgłoszeń 35% 33% 28% 21% 17% 15% 14% 7% 0% lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 25. Udział procentowy koni trojańskich w 50 najczęściej zgłaszanych próbkach destrukcyjnego kodu Źródło: Symantec Corporation Ten wzrost liczby zgłaszanych koni trojańskich może być częściowo spowodowany zwiększeniem się liczby przypadków wykorzystania luk w zabezpieczeniach przeglądarek WWW (zabezpieczeniach po stronie klienta)57. Takie luki w zabezpieczeniach mogą umożliwić zainstalowanie konia trojańskiego w komputerze bez wiedzy użytkownika. Ponieważ konie trojańskie nie zawierają mechanizmów propagacji (programy, które zawierają takie mechanizmy, są klasyfikowane jako robaki lub wirusy), wykorzystanie luk w zabezpieczeniach po stronie klienta stanowi efektywny mechanizm ich przenoszenia. Koń trojański może być przechowywany na destrukcyjnej witrynie WWW, która usiłuje wykorzystać specyficzną lukę w zabezpieczeniach przeglądarki WWW. Haker zachęca użytkowników do odwiedzenia takiej witryny, np. zamieszczając łącze do niej w wiadomości e-mail przesyłanej jako spam. Jeśli użytkownik przeglądarki zawierającej lukę w zabezpieczeniach odwiedzi taką witrynę, zostanie wykonany kod wykorzystujący tę lukę, w wyniku czego w komputerze użytkownika zostanie zainstalowany koń trojański. Na przykład koń trojański Phel 58 jest zazwyczaj instalowany w komputerze użytkownika z wykorzystaniem luki w zabezpieczeniach przeglądarki Internet Explorer59, do której w momencie pojawienia się tego programu nie było programu korygującego. Gdy koń trojański zostanie uruchomiony w komputerze, pobiera z witryny hakera program typu tylne wejście60 i instaluje go w systemie. Użytkownicy mogą podjąć szereg działań zapobiegających instalowaniu w ich komputerach aplikacji przy wykorzystaniu luk w zabezpieczeniach przeglądarki WWW. Wyłączenie obsługi skryptów oraz aktywnej zawartości przez przeglądarkę ogranicza możliwości pobierania i aktywowania kodu z destrukcyjnych witryn WWW. Konsekwencje infekcji zostają także ograniczone, jeśli przeglądarka jest używana przez użytkownika o niskim poziomie uprawnień. 57 Luki w zabezpieczeniach po stronie klienta umożliwiają atakowanie systemów komputerowych użytkowników indywidualnych (w odróżnieniu od serwerów przedsiębiorstw lub instytucji). Obiektem ataku są takie aplikacje, jak przeglądarki WWW, klienty poczty elektronicznej, sieci równorzędne (peer-to-peer), klienty natychmiastowego przesyłania wiadomości oraz odtwarzacze multimedialne. Luki takie często, choć nie zawsze, są skutkiem błędów logicznych lub wad systemów kontroli dostępu. Luki takie, zwłaszcza w przypadku przeglądarek, są zazwyczaj łatwe do wykorzystania. 58 http://securityresponse.symantec.com/avcenter/venc/data/trojan.phel.a.html 59 http://www.securityfocus.com/bid/11467 60 http://securityresponse.symantec.com/avcenter/venc/data/backdoor.coreflood.html 58 Raport firmy Symantec na temat bezpieczeństwa w Internecie Destrukcyjny kod dla urządzeń mobilnych Inteligentny telefon to telefon komórkowy, w którym działa system operacyjny o pełnych możliwościach, pozwalający użytkownikowi na instalowanie różnego rodzaju oprogramowania. Wraz z coraz bardziej popularnymi komputerami kieszonkowymi, określanymi także jako PDA (personal digital assistant – cyfrowy asystent osobisty), inteligentne telefony stanowią nową klasę przenośnych urządzeń komputerowych. Ich popularność przyciągnęła zainteresowanie hakerów, którzy zaczęli opracowywać kod destrukcyjny dla takich urządzeń, zwłaszcza działających z systemami operacyjnymi PocketPC, Symbian® i Palm™. Jak podaliśmy w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie, pierwszy robak atakujący urządzenia mobilne, Cabir 61, pojawił się w czerwcu 2004 r.62 Niedługo potem pojawiły się różne warianty tego robaka. Początkowo warianty te były tworzone po prostu przez użycie edytora kodu heksadecymalnego w celu zmiany widocznych napisów (takich jak nazwy plików) w pliku binarnym zawierającym kod oryginalnego robaka. Jednak w grudniu 2004 r. został opublikowany kod źródłowy robaka i od tego czasu zostało opublikowanych wiele nowych wariantów tworzonych metodą kompilacji zmodyfikowanego kodu źródłowego. Do końca grudnia 2004 r. odkryto 11 nowych wariantów robaka Cabir. Wiele z nich zostało zawartych w nowym koniu trojańskim o nazwie Skulls 63, który nie tylko instaluje robaka Cabir, lecz także wymienia wiele aplikacji systemowych, uniemożliwiając normalne funkcjonowanie zaatakowanego urządzenia. Chociaż większości tych nowych wariantów nie zaobserwowano w działaniu, pojawiły się doniesienia o niektórych z nich z kilku krajów Azji Południowo-Wschodniej, takich jak Singapur i Filipiny64. W dniu 17 lipca 2004 r. doniesiono o pierwszym zagrożeniu na platformę Windows CE. Był to prosty dołączający się wirus, znany pod nazwą Duts 65. Wirus ten infekuje tylko urządzenia z procesorem ARM, takie jak komputery Pocket PC, a jego funkcja ogranicza się do dołączania się do plików .exe w folderze głównym. Wkrótce potem, 5 sierpnia 2004 r., pojawił się drugi program destrukcyjny na platformę Windows CE – koń trojański Brador 66, instalujący tylne wejście. Brador otwiera nasłuchujący port TCP 2989 i oczekuje na instrukcje hakera, zgodnie z którymi może wykonać szereg różnych zadań, takich jak wyświetlenie zawartości katalogu, przesłanie plików, wyświetlenie okienek z komunikatami, pobranie plików oraz wykonanie poleceń systemu operacyjnego. W styczniu 2004 r. odkryto także konia trojańskiego w grze do systemu Symbian67. Ten koń trojański, noszący nazwę Mos 68, wysyła wiadomość SMS na numer telefoniczny o podwyższonej taryfie. Kod konia trojańskiego został do gry włączony celowo przez jej autora w styczniu 2004 r., co miało chronić grę przed nielegalnym użytkowaniem. Chociaż autor wkrótce potem usunął ten kod z aplikacji, nielegalne wersje wysyłające wiadomości SMS były dostępne w sierpniu 2004 r. na popularnych witrynach z oprogramowaniem pirackim. Bezwzględna liczba zagrożeń dla urządzeń mobilnych w dalszym ciągu pozostaje mała, jednak w związku z odkryciem różnych wariantów robaka Cabir, w ciągu ostatnich sześciu miesięcy raptownie wzrosła. W czerwcu 2004 r. łączna liczba programów destrukcyjnych atakujących urządzenia mobilne wynosiła cztery: był to jeden robak (Cabir), jeden wirus i dwa konie trojańskie. Pod koniec roku było już 13 robaków (Cabir, Duts i ich warianty), jeden wirus i siedem koni trojańskich. 61 http://securityresponse.symantec.com/avcenter/venc/data/epoc.cabir.html Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 37: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 63 http://securityresponse.symantec.com/avcenter/venc/data/symbos.skulls.html 64 http://www.cellular-news.com/story/11546.shtml 65 http://securityresponse.symantec.com/avcenter/venc/data/wince.duts.a.html 66 http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html 67 Gra ta nosi nazwę Mosquitos. Kod wybierający numery telefoniczne o podwyższonej taryfie był zawarty tylko w jej wczesnych oficjalnych wersjach. Autor gry rozwiązał umowę o korzystanie z numeru o podwyższonej taryfie wkrótce po pojawieniu się doniesień o koniu trojańskim. 68 http://securityresponse.symantec.com/avcenter/venc/data/trojan.mos.html 62 59 Raport firmy Symantec na temat bezpieczeństwa w Internecie Tym niemniej, liczba zagrożeń atakujących urządzenia mobilne nadal pozostaje bardzo mała. Większość zagrożeń opracowanych jako dowód poprawności koncepcji (proof of concept) nie została wypuszczona do sieci. Jednak sam fakt ich opracowania świadczy o dużym potencjale, jaki mają takie urządzenia. Przykład konia trojańskiego Mos pokazuje, że urządzenia mobilne mogą już w niedalekiej przyszłości posłużyć jako drogi dostarczania oprogramowania szpiegowskiego lub programów typu adware. Do większości systemów operacyjnych dla urządzeń przenośnych istnieją produkty zabezpieczające, które potrafią wykrywać destrukcyjny kod. Ponadto zainfekowaniu takim kodem można zapobiec, przestrzegając powszechnie obowiązujących zasad bezpiecznego korzystania z komputera, a w szczególności nie instalując nieznanych programów i nie przyjmując połączeń z nieznanych źródeł. Destrukcyjny kod atakujący usługi P2P (sieci równorzędne), IM (natychmiastowe przesyłanie wiadomości), IRC i CIFS Usługi sieci równorzędnych (P2P – peer-to-peer) i usługa współużytkowania plików w systemie Windows (CIFS) w dalszym ciągu są mechanizmami propagacji używanymi przez programy destrukcyjne zajmujące czołowe pozycje w rankingu. Jednak wbrew powszechnym przewidywaniom, usługa natychmiastowego przesyłania wiadomości (IM – instant messaging) nie jest powszechnie używana jako mechanizm propagacji. Usługa IRC (Internet Relay Chat), chociaż jest powszechnie używana przez oprogramowanie typu bot do komunikacji, nie była używana jako mechanizm propagacji przez żaden z 50 przykładów destrukcyjnego kodu najczęściej zgłaszanych do firmy Symantec w drugim półroczu 2004 r. (była natomiast używana przez oprogramowanie typu bot do komunikacji). Udział zagrożeń wykorzystujących usługi P2P, IM, IRC i CIFS wśród 50 najczęściej zgłaszanych do firmy Symantec próbek destrukcyjnego kodu wzrósł w ostatnich sześciu miesiącach o 39% (patrz rys. 26). Jak widać z omawianego wyżej w niniejszym rozdziale rankingu dziesięciu najczęściej zgłaszanych próbek destrukcyjnego kodu, dominującymi zagrożeniami w drugim półroczu 2004 r. w dalszym ciągu były warianty robaków Netsky, Beagle i MyDoom. Sytuacja ta nie zmieniła się w stosunku do poprzedniego badanego okresu. Wszystkie trzy robaki rozprzestrzeniają się przy użyciu sieci P2P. MyDoom po prostu kopiuje się do współużytkowanego folderu serwisu Kazaa, ukrywając się pod mylącymi, zachęcającymi nazwami plików. Netsky i Beagle przeszukują dysk komputera, lokalizują każdy katalog, który może być współużytkowanym folderem usługi P2P, po czym kopiują się do takiego katalogu z różnymi nazwami, których często poszukują użytkownicy. Gdy użytkownik przeszukuje sieć równorzędną w celu zlokalizowania pliku i kryteria wyszukiwania pasują do takiej nazwy, robak zostaje pobrany i uruchomiony, co umożliwia mu dalsze rozprzestrzenianie. 60 Raport firmy Symantec na temat bezpieczeństwa w Internecie 60% Odsetek 50 najczęstszych zgłoszeń 50% 50% 40% 36% 32% 30% 20% 10% 0% lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 26. Zagrożenia wykorzystujące usługi P2P, IM, IRC i CIFS Źródło: Symantec Corporation Często stosowaną drogą propagacji oprogramowania typu bot w systemach Windows pozostaje w dalszym ciągu usługa współużytkowania plików firmy Microsoft (CIFS). Takie zagrożenia, jak Gaobot i Spybot (oba te programy znalazły się w pierwszej dziesiątce rankingu w badanym okresie) wykorzystują słabe (tj. łatwe do odgadnięcia) hasła w systemach Windows. Korzystając ze słownika często używanych haseł, próbują one połączyć się z odległym komputerem z systemem Windows. Jeśli połączenie dojdzie do skutku, kopiują się do komputera i zdalnie się uruchamiają. Spośród 50 najczęściej zgłaszanych zagrożeń w okresie od 1 lipca do 31 grudnia 2004 r., 30% używa usługi CIFS jako mechanizmu propagacji. Od dawna spekulowano, zwłaszcza w mediach, że usługi natychmiastowego przesyłania wiadomości (IM) staną się kiedyś skutecznym sposobem przenoszenia destrukcyjnego kodu. Jak dotąd przewidywania te nie sprawdziły się. W ostatnim badanym okresie, podobnie jak w poprzednim półroczu, wśród 50 najczęstszych przykładów destrukcyjnego kodu nie wystąpiło ani jedno zagrożenie wykorzystujące mechanizm IM. Zdaniem firmy Symantec, jest to przypuszczalnie spowodowane faktem, że aplikacje typu IM używają centralnego serwera, który przekazuje wiadomości pomiędzy użytkownikami, w związku z czym operator Internetu lub usługi IM może łatwo filtrować komunikaty przenoszące destrukcyjny kod. Usługi P2P i CIFS są powszechnie używane do codziennych celów zawodowych i prywatnych. Firma Symantec przewiduje, że w dalszym ciągu będą opracowywane programy destrukcyjne wykorzystujące te usługi do rozprzestrzeniania się. Ponadto takie mechanizmy, jak IRC są używane do przesyłania poleceń i sterowania sieciami komputerów zainfekowanych oprogramowaniem typu bot. Z tego względu przedsiębiorstwa i instytucje powinny zapewnić kontrolę swoich systemów pod kątem nieupoważnionego użycia takich aplikacji oraz protokołów. Oprócz tego należy unikać niezabezpieczonych wersji tych usług i ich aplikacji-klientów, a także egzekwować stosowanie trudnych do odgadnięcia haseł. 61 Raport firmy Symantec na temat bezpieczeństwa w Internecie Oprogramowanie typu bot Boty (skrót od słowa „robot”) to programy instalowane podstępnie w maszynie użytkownika, które pozwalają nieautoryzowanym użytkownikom na zdalny dostęp do komputera. Cechą odróżniającą je od innych podobnych rodzajów destrukcyjnego kodu jest ich wyjątkowa możliwość pracy sieciowej. Oprogramowanie typu bot umożliwia hakerowi tworzenie sieci zainfekowanych komputerów, którymi następnie można zdalnie sterować w celu wykonywania skoordynowanych czynności o charakterze destrukcyjnym przez wszystkie komputery. Po ustanowieniu sieci komputerów zainfekowanych oprogramowaniem typu bot, haker może wysyłać do nich polecenia za pośrednictwem rozgłoszeniowych kanałów komunikacyjnych, takich jak IRC. Takie zainfekowane komputery mogą być używane do różnych nielegalnych celów, np. kradzieży informacji, pośredniczenia w przekazywaniu ruchu sieciowego np. w protokołach SMTP i HTTP oraz przeprowadzania rozproszonych ataków typu odmowa usługi (DoS). Oprogramowanie typu bot często wykorzystuje kilka różnych mechanizmów propagacji do infekowania innych komputerów. Może się samo kopiować do współużytkowanych napędów sieciowych zabezpieczonych słabymi (łatwymi do odgadnięcia) hasłami, a także przenosić się za pośrednictwem sieci równorzędnych, przez kopiowanie się do współużytkowanych folderów aplikacji-klienta usługi P2P. Większość przykładów oprogramowania typu bot, takich jak Randex, Spybot i Gaobot, stosuje kilka mechanizmów propagacji, które również wykorzystują luki w zabezpieczeniach usług dostępnych zdalnie, np. lukę Microsoft Windows LSASS Buffer Overrun Vulnerability.69 Oprogramowanie typu bot stale dominuje wśród najczęściej zgłaszanych do firmy Symantec próbek destrukcyjnego kodu. W drugim półroczu 2004 r. programy tego typu stanowiły 12% spośród 50 najczęstszych zgłoszeń. Oznacza to wzrost w stosunku do poprzedniego półrocza, gdy wskaźnik ten wynosił 10%, oraz w stosunku do drugiego półrocza 2003 r., gdy wskaźnik ten wynosił 9% (patrz rys. 27). Udział procentowy wśród 50 najczęstszych zgłoszeń 15% 12% 10% 10% 9% 5% 0% lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r lipiec-grudzień 2004 r. Okres Rys. 27. Udział oprogramowania typu bot w 50 najczęściej zgłaszanych próbkach destrukcyjnego kodu Źródło: Symantec Corporation 69 62 http://www.securityfocus.com/bid/10108 Raport firmy Symantec na temat bezpieczeństwa w Internecie 4,500 Warianty programu Gaobot Warianty programu Randex Warianty programu Spybot 4,000 Liczba nowych wariantów 3,500 3,000 2,500 2,000 1,500 1,000 500 0 lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 28. Liczba nowych wariantów oprogramowania typu bot Źródło: Symantec Corporation Jak zauważono w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie, liczba udokumentowanych wariantów głównych programów typu bot stale rośnie. W ostatnim półroczu łączna liczba nowych wariantów trzech najpopularniejszych programów tego typu – Randex, Gaobot i Spybot – wyniosła blisko 6 tys. Oznacza to wzrost o 189% w stosunku do poprzedniego okresu sześciomiesięcznego, w którym wykryto nieco ponad 3100 nowych wariantów. Oznacza to także wzrost aż o 1063% w stosunku do analogicznego okresu roku poprzedniego, gdy liczba nowych wariantów wynosiła zaledwie 550. Chociaż w okresie od 1 lipca do 31 grudnia 2004 r. łączna liczba wariantów wzrosła, wzrost ten dotyczył tylko wariantów programu Spybot, podczas gdy liczba nowych wariantów programów Randex i Gaobot nie wzrosła, a nawet lekko spadła. Natomiast liczba nowych wariantów programu Spybot wzrosła radykalnie i wyniosła prawie 4300 (patrz rys. 28), co oznacza wzrost o 180% w stosunku do poprzedniego półrocza. Liczba nowych wariantów programów Randex i Gaobot wyniosła – odpowiednio – 900 i 700. Warianty te mają różne cechy charakterystyczne, np. stosują pakowanie kodu wykonywalnego70, różne metody wykorzystywania luk w zabezpieczeniach oraz wykonują różne funkcje. Powyższe dane niekoniecznie muszą oznaczać, że autorzy destrukcyjnego kodu porzucili programy Randex i Gaobot na rzecz programu Spybot. Raczej należy przypuszczać, że ponieważ kod źródłowy wszystkich tych trzech programów jest łatwo dostępny w Internecie, autorzy destrukcyjnego kodu tworzą nowe warianty łącząc ich funkcje. W niektórych przypadkach produkt końcowy bardziej przypomina program Spybot niż pozostałe dwa programy, wskutek czego jest klasyfikowany jako nowy wariant programu Spybot. Ponadto szerokie stosowanie pakowania kodu wykonywalnego powoduje ciągły wzrost liczby nowych wariantów. 70 Pakowanie polega na kompresji i szyfrowaniu plików wykonywalnych systemu Windows. Jest to problem dla osób odpowiedzialnych za ochronę, gdyż utrudnia wykrywanie destrukcyjnego kodu przez mechanizmy antywirusowe. 63 Raport firmy Symantec na temat bezpieczeństwa w Internecie Nowe tendencje w zakresie oprogramowania typu bot W ciągu ostatnich sześciu miesięcy analitycy firmy Symantec zaobserwowali niepokojące nowe tendencje w ewolucji i tworzeniu oprogramowania typu bot. Większość takiego oprogramowania w charakterze kanału sterowania wykorzystuje usługę IRC. Program tego typu zazwyczaj jest tak zaprogramowany, że łączy się z określonym serwerem IRC i podłącza do określonego kanału. Po podłączeniu się do kanału, może on zdalnie odbierać polecenia od hakera. To uzależnienie od scentralizowanego kanału komunikacji powoduje, że sieci komputerów zainfekowanych oprogramowaniem typu bot są wrażliwe, gdyż wyłączenie serwera IRC skutecznie przerywa komunikację między nimi a sterującym nimi hakerem. W odpowiedzi na ten problem, komputery zainfekowane oprogramowaniem typu bot zaczynają używać nowych metod komunikacji. System Symantec DeepSight Honeypots™ przechwycił dwa programy tego typu – Moonlit 71 i Zincite 72 – które używają do komunikacji własnych sieci równorzędnych. Komunikacja ta jest szyfrowana oraz używa losowo wybieranych portów sieciowych w celu uniknięcia wykrycia. Zamiast łączyć się z centralnym serwerem w celu odebrania poleceń, programy te utrzymują listę adresów IP zainfekowanych komputerów. Wskutek tego usunięcie dowolnego węzła równorzędnego z sieci nie wpływa na pozostałe, co utrudnia zamknięcie całej sieci. Drugim nowym zjawiskiem w komunikacji komputerów zainfekowanych oprogramowaniem typu bot jest wykorzystanie do wysyłania poleceń protokołu POP373. Zaobserwowano to w programie Sconato 74, który zawiera także funkcję rejestrowania sekwencji naciśnięć klawiszy. Program ten łączy się z określonym serwerem poczty i odbiera wiadomości e-mail z załącznikami. W załącznikach tych są ukryte polecenia, które umożliwiają sterowanie programem i dzięki temu manipulowanie różnymi aspektami zainfekowanego środowiska. Ponadto program Sconato może odpowiadać na polecenia, wysyłając wiadomości e-mail do serwera poczty. Ponieważ komunikacja w protokole POP3 występuje powszechnie w większości sieci, taki ruch może łatwiej pozostać niezauważony niż połączenie z serwerem IRC. Oprócz tego, prawdopodobieństwo, że porty używane do komunikacji w tym protokole będą filtrowane lub zostaną zablokowane na brzegu sieci, jest mniejsze. Destrukcyjny kod wykorzystywany do osiągania zysku Wydaje się, że użycie destrukcyjnego kodu do osiągania zysku staje się coraz poważniejszym problemem. Można przewidywać, że duży udział w tej tendencji będzie miało oprogramowanie typu bot. Przechwycony przez system Symantec DeepSight Honeypot program Spammerbot 75 został przypuszczalnie zaprojektowany w celu przekazywania wielkiej ilości niechcianej poczty elektronicznej (spamu). Zawiera on serwer proxy SMTP, który służy do wysyłania spamu z komputerów zdalnie kontrolowanych przez hakera. Od dawna chodzą pogłoski, że na kanałach IRC kwitnie handel sieciami komputerów zainfekowanych oprogramowaniem typu bot podobnym do opisanego powyżej. Na skutek stosowania czarnych list76, spamerzy muszą stale pozyskiwać nowe adresy IP, z których mogą przesyłać wiadomości. Do tego celu znakomicie nadają się zainfekowane komputery w domach i przedsiębiorstwach. Wśród 50 najczęściej zgłaszanych do firmy Symantec próbek destrukcyjnego kodu zaobserwowano wzrost liczby programów zawierających mechanizmy tranzytu ruchu SMTP, co potwierdza hipotezę o nasilaniu się tego rodzaju działalności. W drugim półroczu 2003 r. udział programów destrukcyjnych zawierających funkcje tranzytu 71 https://tms.symantec.com/downloads/040809-Analysis-Backdoor.Moonlit.pdf https://tms.symantec.com/downloads/040727-Analysis-Mydoom.M.pdf POP3 to jeden z protokołów pocztowych, używany do pobierania poczty z serwera. 74 https://tms.symantec.com/downloads/040821-Analysis-Trojan.SconatoPOP3CommunicationChannel.pdf 75 https://tms.symantec.com/downloads/041203-Analysis-HarnessingBotNetworksForSpam.pdf 76 Czarne listy to praktyka rejestrowania adresów IP komputerów i sieci, które wysyłają spam. Gdy dany adres jest używany stale do wysyłania spamu, zostaje umieszczony na czarnej liście i serwery poczty zostają tak skonfigurowane, by ignorować połączenia z takiego adresu. 72 73 64 Raport firmy Symantec na temat bezpieczeństwa w Internecie SMTP wśród 50 najczęściej zgłaszanych próbek destrukcyjnego kodu wyniósł tylko 37%. Wskaźnik ten wzrósł do 47% w pierwszym półroczu 2004 r. i do 53% w drugim półroczu tego roku (patrz rys. 29). Kolejnym przykładem destrukcyjnego kodu opracowanego dla zysku jest Beagle.AV. Jest to wariant robaka Beagle, który instaluje system tranzytowy SMTP. Został on zaobserwowany przez system Symantec DeepSight Honeypots, gdy był używany do przekazywania poczty elektronicznej o charakterze phishingu. Włączenie mechanizmów generowania zysków do destrukcyjnego kodu jest niepokojące. Firma Symantec przewiduje, że tendencja merkantylnego wykorzystania destrukcyjnego kodu w dalszym ciągu będzie kontynuowana, a ponadto rozszerzy się na inne formy, takie jak robaki. Z tego względu firma Symantec będzie w dalszym ciągu pilnie monitorować tego rodzaju działalność. 60% Odsetek 50 najczęstszych zgłoszeń 53% 50% 40% 47% 37% 30% 20% 10% 0% lipiec-grudzień 2003 r. styczeń-czerwiec 2004 r. lipiec-grudzień 2004 r. Okres Rys. 29. Destrukcyjny kod umożliwiający tranzytowe wysyłanie poczty SMTP Źródło: Symantec Corporation 65 Raport firmy Symantec na temat bezpieczeństwa w Internecie Dodatkowe zagrożenia dla bezpieczeństwa W poprzednich edycjach Raportu firmy Symantec na temat bezpieczeństwa w Internecie zagrożenia były tradycyjnie dzielone na trzy ogólne kategorie: ataki, luki w zabezpieczeniach i destrukcyjny kod. Jednak w miarę, jak usługi i aplikacje internetowe rozwijały się i różnicowały, rosły możliwości opracowywania programów komputerowych wprowadzających inne typy zagrożeń. Pojawienie się tych nowych zagrożeń, a w szczególności spamu, phishingu, programów szpiegujących i typu adware, stworzyło potrzebę rozszerzenia dotychczasowej taksonomii zagrożeń dla bezpieczeństwa. Firma Symantec monitorowała nowo powstające zagrożenia dla bezpieczeństwa od początku ich rozwoju. Sklasyfikowała je jako „dodatkowe zagrożenia dla bezpieczeństwa”. Niniejszy rozdział omawia dodatkowe zagrożenia dla bezpieczeństwa w drugim półroczu 2004 r. W szczególności przedstawia tendencje dotyczące programów szpiegujących i oprogramowania typu adware, phishingu oraz spamu. Oprogramowanie typu adware i programy szpiegujące Programy typu adware wyświetlają treści reklamowe na monitorze komputera, często bez uprzedniej zgody i wiedzy użytkownika. Zazwyczaj, chociaż nie zawsze, treści takie są prezentowane w formie wyskakujących okienek lub pasków wyświetlanych na ekranie. Programy typu adware nie zawsze są zagrożeniem dla bezpieczeństwa. W niektórych przypadkach przekazują jedynie reklamę wyświetlaną na ekranie użytkownika. Jednak nie zawsze ograniczają się tylko do tego. Większość programów typu adware jest nieszkodliwa, jednak zależnie od możliwości funkcjonalnych niektóre formy takiego oprogramowania stwarzają zagrożenie. Spełniają bowiem wybrane lub wszystkie kryteria, które kwalifikują je jako zagrożenie dla bezpieczeństwa, takie jak naruszenie poufności, dostępności lub integralności danych w systemie komputerowym. Oprogramowanie typu adware narusza powyższe, jeśli: • śledzi użycie sieci WWW przez użytkownika i kompiluje profil jego zachowania przy przeglądaniu Internetu, • zajmuje przepustowość sieci, pogarszając tym samym funkcjonalność i dostępność systemu komputerowego, • czasem modyfikuje Winsock.dll, aby monitorować zachowanie użytkownika przy przeglądaniu Internetu, co narusza integralność komputera. Kategoria programów szpiegujących obejmuje samodzielne programy, które skrycie monitorują aktywność systemu i przekazują informacje do innego komputera. Niektóre programy szpiegujące są legalne, np. programy wykorzystywane przez przedsiębiorstwa do monitorowania użycia Internetu przez pracowników bądź wykorzystywane przez rodziców do monitorowania użycia Internetu przez dzieci. Często jednak programy szpiegujące mają mniej uprawnione zastosowania. Programy szpiegujące mogą być skrycie umieszczane w systemach użytkowników w celu przechwytywania poufnych informacji, takich jak hasła, dane uwierzytelniające i informacje dotyczące kart kredytowych. Można je zdobyć przez rejestrowanie sekwencji naciskanych klawiszy oraz przez przechwytywanie poczty elektronicznej i ruchu w usłudze natychmiastowego przesyłania wiadomości. Ponieważ programy szpiegujące mogą przechwytywać poufne informacje zanim zostaną one zaszyfrowane w celu transmisji, 77 66 Winsock (skrót od Windows Socket) to interfejs programowania (API), który umożliwia komputerom pracującym w systemie Windows komunikację przy użyciu protokołu TCP/ IP. Raport firmy Symantec na temat bezpieczeństwa w Internecie mogą ominąć wdrożone zabezpieczenia, takie jak zapory ogniowe, bezpieczne połączenia i wirtualne sieci prywatne. Programy szpiegujące stanowią szczególny powód do niepokoju ze względu na możliwość ich użycia do kradzieży tożsamości i oszustw. Ilość programów szpiegujących i typu adware Chociaż programy szpiegujące i typu adware nie są traktowane jako przykłady destrukcyjnego kodu, firma Symantec monitoruje i analizuje je przy użyciu tych samych metod, które są stosowane do destrukcyjnego kodu. Na bieżąco analizuje zgłoszenia od klientów oraz dane przekazywane z ponad 120 mln systemów78 pocztowych – klientów, serwerów i bram – a także filtruje 25 mln wiadomości e–mail dziennie. Następnie kompiluje raporty i tworzy ranking najpowszechniej występujących zagrożeń. Na koniec analizuje raporty, aby stwierdzić, czy opisana aktywność jest związana z programami typu adware, szpiegującymi, czy też z destrukcyjnym kodem. Dziesięć najczęściej zgłaszanych programów typu adware Jak stwierdzono w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie, programy typu adware stanowią coraz większy powód do niepokoju79. W ciągu ostatnich sześciu miesięcy udział procentowy programów typu adware wśród 50 najczęściej zgłaszanych do firmy Symantec próbek destrukcyjnego kodu wzrósł w stosunku do poprzedniego półrocza 2004 r. W okresie od 1 stycznia do 30 czerwca 2004 r. programy typu adware stanowiły 4% spośród 50 najczęściej zgłaszanych próbek, natomiast w okresie od 1 lipca do 31 grudnia 2004 r. wskaźnik ten wynosił już 5%. Najczęściej zgłaszanym w drugim półroczu 2004 r. programem typu adware był Iefeats (zob. tab. 7), którego udział wśród 10 najczęściej zgłaszanych programów wyniósł 36%. Program Iefeats może być zainstalowany ręcznie, ale niekiedy jest włączany do innego oprogramowania. Ma on wiele zróżnicowanych możliwości funkcjonalnych. Zainstalowany za pośrednictwem przeglądarki użytkownika, rejestruje się jako obiekt pomocniczy przeglądarki (BHO)80. Modyfikuje klucze rejestru w taki sposób, by maksymalnie utrudnić jego usunięcie. Iefeats podmienia również stronę startową przeglądarki. W jej miejsce wyświetla stronę z własnym mechanizmem wyszukiwania. Mechanizm ten może być wykorzystywany do śledzenia terminów, które wyszukuje użytkownik, np. w celu ograniczenia wyników wyszukiwania do takich, które prowadzą na strony reklamodawców finansujących przedsięwzięcie. Program ten nie tylko zużywa zasoby systemu, lecz także podmienia stronę startową przeglądarki oraz pobiera szereg innych programów, które ułatwiają mu wyszukiwanie w sieci WWW. Drugą pozycję w rankingu najczęściej zgłaszanych programów typu adware w ostatnich sześciu miesiącach 2004 r. zajął InstantAccess. Jego udział wśród dziesięciu najczęściej zgłaszanych programów wyniósł prawie 11%. Program ten pobiera wyskakujące okienka reklamowe i wyświetla je na ekranie komputera użytkownika. Zwykle jest dołączany do innych programów i użytkownik pobiera go przy instalowaniu potrzebnego mu oprogramowania. Trzecią pozycję w rankingu najczęściej zgłaszanych programów typu adware w drugim półroczu 2004 r. zajął Gator. Jego udział wśród dziesięciu najczęściej zgłaszanych programów wyniósł w tym okresie nieco 78 79 80 Chodzi o systemy, w których są wdrożone rozwiązania antywirusowe firmy Symantec. Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 41: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 Obiekt pomocniczy przeglądarki (BHO – browser help object) to dodatkowy program, który ma na celu uprawnione uzupełnienie możliwości funkcjonalnych przeglądarki użytkownika (Internet Explorer 4.x lub nowsza wersja). Na przykład obiektami BHO są programy do odczytywania dokumentów z poziomu przeglądarki. 67 Raport firmy Symantec na temat bezpieczeństwa w Internecie ponad 9%. Gator pobiera i wyświetla reklamy, a także śledzi zachowanie użytkownika podczas przeglądania stron WWW i zakupów online. Przesyła informacje na ten temat do swoich centralnych serwerów. Gator musi być zainstalowany ręcznie. Jednak istnieje wiele znanych programów, do których jest dołączany i z którymi jest instalowany automatycznie. Stosowane są przy tym dwie techniki. Pierwsza polega na tym, że użytkownikowi zostaje przedstawiona skomplikowana umowa licencyjna (EULA), z której wynika, że zostanie zainstalowany Gator. Użytkownik jest proszony o zgodę na warunki licencji. Przez zaakceptowanie umowy użytkownik (świadomie lub częściej nieświadomie ze względu na zawiłość licencji) zezwala na zainstalowanie programu typu adware na swoim komputerze. Drugi sposób, stosowany przez niektóre programy, polega na tym, że dołączony do pakietu Gator zostaje zainstalowany bez wiedzy i zgody użytkownika. Miejsce w rankingu 1 2 3 4 5 6 7 8 9 10 Nazwa programu typu adware Iefeats InstantAccess Gator Istbar VirtuMonde Binet CDT MainSearch 180Search NetOptimizer Tabela 7. Dziesięć najczęściej zgłaszanych programów typu adware Źródło: Symantec Corporation Miejsce w rankingu 1 2 3 4 5 6 7 8 9 10 Nazwa programu szpiegującego Webhancer e2Give Apropos Look2Me 2020search Dotcomtoolbar Iwantsearch ClientMan Perfect Shopnav Tabela 8. Dziesięć najczęściej zgłaszanych programów szpiegujących Źródło: Symantec Corporation Dziesięć najczęściej zgłaszanych programów szpiegujących Pierwszą pozycję w rankingu najczęściej zgłaszanych programów szpiegujących w drugim półroczu 2004 r. zajął program Webhancer. Jego udział wśród 10 najczęściej zgłaszanych programów wyniósł 38% (zob. tab. 8). Webhancer to program monitorujący zachowanie użytkownika podczas przeglądania Internetu. Wysyła informacje na ten temat do centralnych serwerów. Program ten może być również uaktualniany z takich serwerów. Uaktualnione wersje mogą zawierać dodatkowe możliwości funkcjonalne, również takie, na które użytkownik nie zgodził się w ramach umowy licencyjnej. Program Webhancer jest zazwyczaj dołączany do innego oprogramowania, zwłaszcza do niektórych programów współużytkowania plików w sieciach równorzędnych. Drugą pozycję w rankingu najczęściej zgłaszanych programów szpiegujących w okresie od 1 lipca do 31 grudnia 2004 r. zajął e2give, który jest obiektem pomocniczym przeglądarki Internet Explorer. Jego udział wśród dziesięciu najczęściej zgłaszanych przez klientów firmy Symantec programów szpiegujących wyniósł w tym okresie ponad 30%. Obiekt e2give śledzi witryny WWW odwiedzane przez użytkownika i monitoruje długość czasu spędzanego przez użytkownika na każdej z nich. Może także śledzić takie informacje, jak imię użytkownika, jego kod pocztowy, kraj, a także zbierać informacje dotyczące komputera. Obiekt e2give może być instalowany ręcznie bądź przez formant ActiveX, który pobiera go z sieci. 68 Raport firmy Symantec na temat bezpieczeństwa w Internecie Trzecią pozycję w rankingu najczęściej zgłaszanych programów szpiegujących w okresie ostatnich sześciu miesięcy 2004 r. zajął Apropos. Jego udział wśród dziesięciu najczęściej zgłaszanych programów wyniósł w tym okresie nieco poniżej 10%. Apropos jest obiektem pomocniczym przeglądarki Internet Explorer i instaluje w niej pasek narzędziowy, który łączy się z witrynami WWW. Przesyła informacje do swojego serwera. Instalowanie obiektu odbywa się przy użyciu formantu ActiveX. Ponadto Apropos może pobierać i instalować w komputerze użytkownika inne pliki. Mogą one zawierać możliwości funkcjonalne, na które użytkownik zgodził się akceptując oryginalną umowę licencyjną, ale również takie, na które nie wyraził zgody. Instalowanie programów szpiegujących i typu adware Istnieje wiele różnych metod instalowania programów szpiegujących i typu adware w systemach użytkowników. W poniższych paragrafach zostaną omówione niektóre z nich. Zostaną też podane zalecenia dotyczące ochrony przed nieupoważnionym instalowaniem. Należy zwrócić uwagę na to, że niektóre dodatkowe zagrożenia dla bezpieczeństwa używają więcej niż jednej metody instalowania. Umowa licencyjna z użytkownikiem (EULA) Niektóre firmy uzasadniają użycie oprogramowania typu adware tym, że umożliwia ono świadczenie usług przy mniejszych kosztach ponoszonych przez klientów. Argument ten jest szczególnie uzasadniony w przypadku oprogramowania udostępnianego użytkownikom do pobrania bezpłatnie (potocznie określanego jako freeware). Programy takie zwykle wymagają od użytkownika zaakceptowania umowy licencyjnej. Umowy licencyjne z użytkownikiem bywają bardzo skomplikowane i niejasne. Chociaż w przypadku niektórych programów typu adware umowy takie są łatwe do zrozumienia, konkretnie i jasno określają, jakie czynności program będzie wykonywać; niestety nie zawsze. Jeśli informacje podane w umowie licencyjnej są poprawne i akceptowalne dla użytkownika, ryzyko związane z zainstalowaniem oprogramowania typu adware jest minimalne. Jednak w wielu przypadkach oprogramowanie takie jest dołączane do innych programów potrzebnych użytkownikowi i jest instalowane bez jego wiedzy. Często zdarza się, że użytkownik nieświadomie godzi się na zainstalowanie programu typu adware akceptując umowę licencyjną. Dzieje się tak dlatego, że jest ona zbyt zawiła i użytkownik nie jest w stanie zrozumieć wszystkich warunków umowy przed jej zaakceptowaniem lub nie chce jej przeczytać. Ponadto oprogramowanie typu adware może być zainstalowane przez podmiot zewnętrzny już po zaakceptowaniu umowy licencyjnej i zainstalowaniu oryginalnego oprogramowania. Komercyjne programy szpiegujące zwykle mają umowy licencyjne z użytkownikiem. Jednak, ponieważ oprogramowanie szpiegujące jest projektowane z myślą o instalacji i wykorzystywaniu go bez wiedzy użytkownika docelowego systemu, często może zwierać opcję umożliwiająca zdalne instalowanie bez umowy licencyjnej. Potrafi śledzić i rejestrować sekwencje naciskanych klawiszy, konwersacje prowadzone za pośrednictwem usługi natychmiastowego przesyłania wiadomości, pocztę elektroniczną oraz inne formy komunikacji, które mogą zawierać dane osobowe. W związku z tym oprogramowanie typu adware ułatwia nie tylko monitorowanie przez uprawnione do tego podmioty, ale i oszustwa lub kradzież danych osobowych. Dlatego rozwiązania do ochrony obsługujące programy szpiegujące powinny wykrywać takie oprogramowanie bez względu na to, czy towarzyszy mu umowa licencyjna z użytkownikiem. 69 Raport firmy Symantec na temat bezpieczeństwa w Internecie W drugim półroczu 2004 r. umowy licencyjne towarzyszyły tylko trzem spośród dziesięciu programów typu adware najczęściej zgłaszanych do firmy Symantec. Były to Gator, NetOptimzer i Binet. W kategorii programów szpiegujących tylko jeden zgłoszony program – Webhancer – był dostarczany z umową licencyjną. Dołączanie do innego oprogramowania Jak wspomniano w poprzednim podrozdziale, niektóre firmy zwiększają dystrybucję swojego oprogramowania przez oferowanie go użytkownikom do pobrania bezpłatnie. Jednak, aby osiągnąć zysk, producenci często dołączają do niego oprogramowanie typu adware. Dotyczy to szczególnie programów do współużytkowania plików w sieciach równorzędnych. Czasem użytkownik jest powiadamiany o dołączonym oprogramowaniu typu adware w umowie licencyjnej, ale nie zawsze. Gdy aplikacja zostaje uruchomiona w systemie użytkownika, instalowane jest również oprogramowanie typu adware, przy czym niekoniecznie odbywa się to za wiedzą i zgodą użytkownika. Programy szpiegujące są również niekiedy dołączane do innego oprogramowania. Często producenci czy dystrybutorzy oprogramowania nie dołączają celowo programów szpiegujących, lecz są one umieszczane w archiwum przez kogoś, kto chce tą drogą uzyskać poufne dane. Następnie taki pakiet oprogramowania jest umieszczany w publicznej witrynie umożliwiającej pobieranie bądź wysyłany do grupy dyskusyjnej w celu jak najszerszej dystrybucji81. Gdy użytkownik uruchomi potrzebny mu program aplikacyjny, programy szpiegujące instalują się automatycznie. Spośród dziesięciu programów typu adware najczęściej zgłaszanych do firmy Symantec w drugim półroczu 2004 r., dziewięć (w tym Iefeats) było dołączanych do innego oprogramowania. Natomiast spośród dziesięciu programów szpiegujących zajmujących czołowe miejsca w rankingu, pięć (w tym Webhancer) było dołączanych do innego oprogramowania. Przeglądarki internetowe Oprogramowanie typu adware często jest instalowane za pośrednictwem przeglądarki WWW. Odbywa się to przy użyciu wyskakujących okienek reklamowych, które oferują bezpłatne oprogramowanie do pobrania. Okienko zawiera przyciski „Tak” i „Nie”, których kliknięcie rzekomo powoduje odpowiednio przyjęcie lub odrzucenie oferty. W rzeczywistości jednak kliknięcie w dowolnym miejscu okienka powoduje pobranie oprogramowania typu adware. Takie oprogramowanie jest instalowane przy użyciu techniki formantów ActiveX lub obiektów pomocniczych przeglądarki (BHO). Dokładniejszy opis obiektów pomocniczych przeglądarki jest podany w podrozdziale „Możliwości funkcjonalne oprogramowania szpiegującego i typu adware”. Spośród dziesięciu najczęściej zgłaszanych w drugim półroczu 2004 r. przez klientów firmy Symantec programów typu adware , pięć było instalowanych za pośrednictwem przeglądarki WWW, w tym Istbar – najpowszechniej występujący program typu adware z taką funkcją. Programy szpiegujące również mogą być instalowane za pośrednictwem przeglądarki przy użyciu techniki formantów ActiveX lub obiektów BHO, jednak w badanym okresie żaden spośród dziesięciu najczęściej zgłaszanych programów szpiegujących nie był instalowany w taki sposób. Aby zmniejszyć ryzyko zainstalowania oprogramowania typu adware lub programów szpiegujących za pośrednictwem przeglądarki WWW, użytkownik powinien wyłączyć obsługę ActiveX. Trzeba jednak 81 70 Programy szpiegujące są często pobierane wraz z narzędziami dla hakerów lub programami pornograficznymi. Raport firmy Symantec na temat bezpieczeństwa w Internecie zaznaczyć, że wyłączenie jej może zmniejszyć funkcjonalność przeglądarki i uniemożliwić prawidłową wizualizację niektórych witryn i stron WWW. Niektórzy użytkownicy potrzebują ActiveX, dlatego powinni skonfigurować przeglądarkę w taki sposób, by monitowała o wykonywanie formantów ActiveX. Jeśli przeglądarka wyświetli nieoczekiwane okienko dialogowe, użytkownik nie powinien klikać w dowolnym miejscu tego okienka. Zamiast tego należy natychmiast zamknąć okno przeglądarki. Ponadto użytkownik może wybrać opcję blokowania znaczników kontekstu klienta (cookies) umieszczanych przez podmioty zewnętrzne. Możliwości funkcjonalne oprogramowania szpiegującego i typu adware Oprogramowanie typu adware i programy szpiegujące to szerokie kategorie, które obejmują wiele programów realizujących podobne cele za pomocą różnych metod. W niniejszym podrozdziale omówione zostaną niektóre funkcje używane przez oprogramowanie szpiegujące i typu adware do identyfikowania potencjalnych obiektów ataku i realizacji celów. Podmiana funkcji przeglądarki Jeśli użytkownik przegląda Internet, program typu adware może zainicjować przekierowanie funkcji wyszukiwania. Na przykład może przekierować wyszukiwanie, podmieniając domyślny mechanizm wyszukiwarki lub obsługę komunikatu „404 Nie odnaleziono strony”, generowanego w przypadku wewnętrznych zapytań do wyszukiwarki. Taka podmiana (hijacking) funkcji przeglądarki nie tylko jest myląca dla użytkownika, lecz stanowi zagrożenie dla bezpieczeństwa, ponieważ w wyniku przekierowania użytkownik może pobrać z nowej strony destrukcyjny kod. Co więcej, użytkownik może zostać przekierowany na sfałszowaną stronę i zostać tam nakłoniony do ujawnienia informacji osobistych, takich jak hasła, dane uwierzytelniające, informacje finansowe i inne poufne dane. Informacje takie mogą być następnie użyte do kradzieży tożsamości bądź oszustwa. W drugim półroczu 2004 r. spośród dziesięciu najczęściej zgłaszanych przez klientów firmy Symantec programów typu adware, pięć podmieniało funkcje przeglądarki. Wśród nich najwyższą pozycję w rankingu zajmuje Istbar. Oprogramowanie szpiegujące również może podmieniać funkcje przeglądarki. Najczęściej występującym w drugim półroczu 2004 r. tego przykładem był Shopnay. Użytkownicy powinni zainstalować oprogramowanie ochronne, które przechwytuje próby podmiany funkcji przeglądarki. Ponadto niezbędne jest wdrażanie aktualnych programów korygujących do systemu operacyjnego, gdyż oprogramowanie szpiegujące może być instalowane w komputerze użytkownika z wykorzystaniem luk w zabezpieczeniach. Obiekty pomocnicze przeglądarki Obiekt pomocniczy przeglądarki (BHO – browser help object) to dodatkowy program, który ma na celu uprawnione uzupełnienie możliwości funkcjonalnych przeglądarki użytkownika82. Obiektami BHO są np. programy do odczytywania dokumentów z poziomu przeglądarki. Jednak niektóre programy typu adware instalują obiekty BHO w systemie użytkownika w mniej uczciwych celach. Obiekty BHO mogą monitorować witryny WWW odwiedzane przez użytkownika, wykrywać zdarzenia, wymieniać reklamy, zmieniać ustawienia strony głównej oraz tworzyć okna wyświetlające różne informacje. W okresie od 1 lipca do 31 grudnia 2004 r. trzy spośród dziesięciu najczęściej zgłaszanych programów typu adware używały obiektów BHO, w tym Iefeats. 82 Na przykład Microsoft Internet Explorer wersja 4.0 lub nowsza. 71 Raport firmy Symantec na temat bezpieczeństwa w Internecie Obiekty BHO umożliwiają wyposażenie oprogramowania szpiegującego w szereg możliwości funkcjonalnych, takich jak pobieranie uaktualnień do programów oraz rejestrowanie i eksportowanie poufnych danych. W ostatnim badanym okresie obiekty BHO były używane przez trzy spośród najczęściej zgłaszanych programów szpiegujących, w tym przez Apropos. Komercyjne narzędzia monitorujące Jak stwierdziliśmy, oprogramowanie szpiegujące zbiera informacje m.in. przez rejestrowanie sekwencji naciskanych klawiszy, co pozwala na uzyskanie takich informacji osobistych, jak nazwy użytkowników, hasła, transakcje dokonywane za pomocą natychmiastowego przesyłania wiadomości oraz poczty elektronicznej. Wiele programów szpiegujących to komercyjnie produkowane i dystrybuowane oprogramowanie monitorujące, które służy np. do monitorowania korzystania z Internetu przez pracowników i użytkowników w instytucjach publicznych. Jednak zgłaszanych jest także wiele programów szpiegujących, które nie są produktami komercyjnymi. Wśród dziesięciu programów szpiegujących zajmujących najwyższe pozycje w rankingu w okresie od 1 lipca do 31 grudnia 2004 r. był tylko jeden program komercyjny – Perfect. Jak wspomniano wyżej, legalne narzędzia są często używane do nielegalnych celów, takich jak rejestrowanie sekwencji naciskanych klawiszy czy nieuprawnione przeglądanie poczty elektronicznej. Możliwość przeprowadzania takich destrukcyjnych działań powoduje, że programy komercyjne mogą znaleźć się wśród programów szpiegujących zgłaszanych przez klientów firmy Symantec. Jak wspomniano wyżej, oprogramowanie typu adware jest używane do zbierania informacji o zachowaniach i preferencjach użytkowników podczas przeglądania Internetu. Ma to na celu lepsze ukierunkowanie reklamy, dlatego oprogramowanie typu adware to w większości produkty komercyjne. Nic więc dziwnego, że wszystkie dziesięć najczęściej zgłaszanych programów typu adware w ostatnim półroczu 2004 r. było produktami komercyjnymi. Zapobieganie instalacji i minimalizowanie skutków działania oprogramowania szpiegującego i typu adware Firma Symantec zaleca, by użytkownicy stale aktualizowali oprogramowanie antywirusowe. Administratorzy odpowiedzialni za ochronę powinni podejmować dodatkowe środki zapewniające utrzymanie aktualności programów korygujących w systemach–klientach. Zaleca się również wdrażanie dogłębnej obrony, w tym stosowanie odpowiednio skonfigurowanej zapory ogniowej oraz zintegrowanych systemów antywirusowych i wykrywania włamań. Ponadto firma Symantec radzi zachować ostrożność przy instalowaniu jakiegokolwiek oprogramowania za pośrednictwem przeglądarki WWW. Nie należy pobierać oprogramowania ze źródeł, które nie są znane i godne zaufania. Oprócz wdrażania dogłębnej obrony, firma Symantec zaleca wdrożenie i egzekwowanie zasad dopuszczalnego użycia. Administratorzy systemów powinni regularnie kontrolować wszystkie systemy pod kątem oprogramowania zainstalowanego lub działającego w nich bez upoważnienia. Ponadto administratorzy i użytkownicy powinni przeczytać każdą umowę licencyjną dołączaną do oprogramowania przed zaakceptowaniem jej warunków. 72 Raport firmy Symantec na temat bezpieczeństwa w Internecie Ponieważ niektóre programy szpiegujące są instalowane przy użyciu formantów ActiveX, firma Symantec zaleca też, by użytkownicy rozważyli możliwość całkowitego wyłączenia obsługi technologii ActiveX. Trzeba przy tym wziąć pod uwagę, iż – jak wspomniano wyżej – niektórzy użytkownicy mogą potrzebować tej technologii do niektórych zastosowań. W takim przypadku należy tak skonfigurować przeglądarkę, aby monitowała o wykonywanie formantów ActiveX. Oprócz tego użytkownicy powinni rozważyć wyłączenie przyjmowania z zewnątrz znaczników kontekstu klienta (cookies). Na koniec firma Symantec zaleca zachowanie najdalej posuniętej ostrożności przy usuwaniu oprogramowania szpiegującego. Programy takie powinny być usuwane tak, aby by w miarę możliwości zminimalizować wszelkie ewentualne niepożądane skutki uboczne ich usunięcia. Aby uniknąć problemów, należy np. zignorować niektóre mało istotne pozostałości po oprogramowaniu szpiegującym, takie jak nieszkodliwe klucze rejestru. Phishing W niniejszym podrozdziale Raportu firmy Symantec na temat bezpieczeństwa w Internecie zostaną omówione ataki typu phishing, które miały miejsce w okresie od 1 lipca do 31 grudnia 2004 r. Phishing to próba uzyskania przez nieupoważnioną osobę poufnych informacji od użytkownika, grupy użytkowników, przedsiębiorstwa lub instytucji, często w celu osiągnięcia korzyści finansowych. Hakerzy dopuszczający się phishingu próbują zmylić użytkowników i w ten sposób nakłonić ich do ujawnienia danych osobistych, takich jak numery kart kredytowych, informacje potrzebne do wykonywania operacji bankowych online bądź inne poufne informacje. Takie informacje mogą następnie posłużyć do popełniania oszustw. W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie wskazaliśmy, że phishing jest jednym z najpoważniejszych zagrożeń, jakich można się spodziewać w nadchodzących miesiącach83. Phishing ewoluował od prostych prób uzyskania drobnych informacji, takich jak hasła do gier, do zmasowanych kradzieży tożsamości. Phishing może być prowadzony przy użyciu poczty elektronicznej, programów szpiegujących bądź zagrożeń hybrydowych84. Przykładem może być atak typu phishing przeprowadzany za pośrednictwem poczty elektronicznej, polegający na wysyłaniu wiadomości udających, że pochodzą z legalnego źródła (np. z banku), bądź za pośrednictwem fałszywej witryny WWW, która imituje legalną witrynę. Gdy użytkownik wyświetli taką wiadomość lub odwiedzi witrynę, do jego komputera przedostaje się plik wykonywalny (.exe), który pozostaje uśpiony do chwili, gdy użytkownik przy użyciu przeglądarki podejmie próbę dostępu do określonych serwisów finansowych. Wówczas program zaczyna rejestrować i przekazywać do atakującego serwera dane, takie jak identyfikatory użytkownika i hasła. Ataki typu phishing mogą za pomocą sfałszowanej wiadomości e-mail nakłaniać użytkownika do wprowadzenia poufnych informacji do fałszywych formularzy lub witryn WWW. Najczęściej taka fałszywa wiadomość zawiera formularz, który użytkownik ma wypełnić i odesłać. Adres e-mail zwykle wygląda na legalny, ale w rzeczywistości kieruje ofiarę oszustwa do fałszywej witryny WWW. Często są przy tym wykorzystywane luki w zabezpieczeniach przeglądarki, które umożliwiają wyświetlanie legalnego adresu internetowego w oknie przeglądarki, podczas gdy w rzeczywistości łączy się ona z innym adresem, bądź też umożliwiają wyświetlenie w prawym dolnym rogu okna przeglądarki ikony kłódki (sygnalizującej zabezpieczoną sesję). Takie fałszywe witryny WWW zwykle wyglądają identycznie jak prawdziwe, wskutek czego użytkownik jest przekonany, że przekazuje poufne dane do witryny legalnej. 83 84 Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 44: http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 Zagrożenie hybrydowe (blended threat) to destrukcyjny kod, który korzysta z kilku różnych metod i technik rozpowszechniania. Zagrożenia hybrydowe zazwyczaj łączą w sobie cechy charakterystyczne dla różnych typów programów destrukcyjnych (takich jak wirusy, robaki i konie trojańskie), a ponadto mogą wykorzystywać luki w zabezpieczeniach. 73 Raport firmy Symantec na temat bezpieczeństwa w Internecie Inne taktyki używane przez hakerów zajmujących się phishingiem obejmują: prośby o przekazanie informacji za pośrednictwem faksu lub telefonu, skrypty Javy powodujące wyświetlenie wyskakującego okienka na tle legalnej witryny WWW , co dezorientuje użytkownika i nakłania go do przekazania poufnych informacji, oraz umieszczanie na legalnej witrynie WWW destrukcyjnego kodu, który ładuje oprogramowanie szpiegujące do systemu użytkownika. Luki w zabezpieczeniach serwisów WWW umożliwiają hakerom obsługiwanie fałszywych stron WWW z legalnego serwera czy witryny i wykorzystanie tego do phishingu. Niniejszy podrozdział dotyczy ataków phishingu i wiadomości e–mail typu phishing. Wiadomość e-mail typu phishing to każda wiadomość wysyłana do jednego konkretnego użytkownika, mająca na celu uzyskanie poufnych lub osobistych informacji od użytkownika Internetu. Natomiast atak typu phishing to zbiór wiadomości e-mail, które mają podobne podstawowe właściwości i zostały razem wysłane z tego samego serwera. Dane prezentowane w niniejszym podrozdziale opierają się na statystykach zebranych przez sieć Symantec Probe Network. Jest to system obejmujący ponad dwa miliony kont–przynęt, które przyciągają wiadomości e-mail z 20 krajów świata. Sieć Symantec Probe Network odbiera reprezentatywną próbę spamu wysyłanego do ponad 250 mln kont pocztowych. Do sieci tej należy ponad 600 przedsiębiorstw i operatorów Internetu w obu Amerykach, Europie, Azji i Australii. Konta-przynęty obejmują zarówno wcześniej aktywne adresy e-mail, jak i adresy utworzone wyłącznie, aby przyciągać spam do sieci Symantec Probe Network. W niniejszym podrozdziale zostaną omówione następujące tematy: • narastanie phishingu w ciągu ostatnich sześciu miesięcy, • zablokowane próby phishingu, • liczba wiadomości e–mail typu phishing, • zapobieganie phishingowi i minimalizacja zagrożeń z nim związanych. Narastanie phishingu w ciągu ostatnich sześciu miesięcy Ponieważ niniejszy Raport firmy Symantec na temat bezpieczeństwa w Internecie jest pierwszym, który analizuje zjawisko phishingu, nie można podać porównania z pierwszym półroczem 2004 r. Tym niemniej firma Symantec przeanalizowała prawidłowości związane z phishingiem w okresie od początku lipca do końca grudnia 2004 r. W okresie od 1 lipca do 31 grudnia 2004 r. wykryto 10 310 nowych ataków typu phishing. Chociaż aktywność phishingu zmieniała się dość nieregularnie z tygodnia na tydzień, liczba nowych ataków typu phishing stale narastała przez cały sześciomiesięczny badany okres (zob. rys. 30 – na wykresie dodano średnią kroczącą85, aby tempo wzrostu liczby ataków typu phishing w badanym okresie było bardziej widoczne). W pierwszym tygodniu lipca sieć Symantec Probe Network wykryła 193 nowe ataki typu phishing. Liczba ta rosła dość szybko i osiągnęła maksimum wynoszące 584 nowe ataki w tygodniu między 7 a 13 października. Następnie tempo wzrostu nieco zmalało, by w ostatnim tygodniu grudnia ponownie osiągnąć wysoką wartość 558 nowowykrytych ataków typu phishing. W środowisku specjalistów ds. bezpieczeństwa przeprowadzono wiele dyskusji na temat, czy phishing jest tylko chwilową modą, czy też będzie się rozwijać. Biorąc pod uwagę dane zebrane przez sieć Symantec 85 74 Średnia krocząca to technika stosowana do analizy trendów w przypadku bardzo zmiennych i dynamicznych danych. Jeśli dane wykazują duże fluktuacje, to ich analiza wizualna i wyznaczenie trendu mogą być trudne. Średnią wylicza się więc na podstawie danych z każdego kolejnego dnia lub tygodnia. Kiedy dochodzą nowe dane, usuwa się dane najstarsze i ponownie wylicza średnią. Tak więc średnia zmienia się w czasie. Długość okresu, za który obliczana jest średnia krocząca, bezpośrednio decyduje o wielkości fluktuacji linii trendu (im krótszy okres, tym większe fluktuacje). Raport firmy Symantec na temat bezpieczeństwa w Internecie Probe Network, można odnieść wrażenie, iż zjawisko phishingu nie zanika, lecz cały czas narasta. Firma Symantec uważa, że nie przestanie, dopóki hakerzy będą poszukiwać nowych celów swoich ataków. Zablokowane próby phishingu Najbardziej efektywną miarą tempa narastania phishingu jest łączna liczba prób phishingu (wiadomości e-mail typu phishing wysłanych do użytkowników) zablokowanych w terenie przez filtry przeciwdziałające oszustwom systemu Symantec Brightmail AntiSpam™. (Filtry przeciwdziałające oszustwom są to reguły utworzone przez centrum BLOC w celu wykrywania i blokowania wiadomości e-mail typu phishing). W połowie lipca 2004 r. blokowały one ok. 9 mln prób phishingu tygodniowo, natomiast pod koniec grudnia 2004 r. średnia tygodniowa wzrosła do ponad 33 mln blokowanych wiadomości (zob. rys. 31 – na wykresie dodano średnią kroczącą, aby tendencje były bardziej widoczne). Maksymalna liczba zablokowanych prób phishingu tygodniowo (zob. rys. 31) jest ściśle skorelowana z maksymalną liczbą nowych ataków typu phishing (zob. rys. 30). Dzieje się tak dlatego, że po wykryciu nowego ataku typu phishing, firma Symantec opracowuje nowe filtry przeciw oszustwom, które uwzględniają takie nowe ataki. To z kolei zwiększa liczbę zablokowanych prób phishingu. 700 Średnia krocząca za dwa okresy (suma tygodniowa) Suma tygodniowa 500 400 300 200 100 23 XII 2004 r. 9 XII 2004 r. 25 XI 2004 r. 11 XI 2004 r. 28 X 2004 r. 14 X 2004 r. 30 IX 2004 r. 16 IX 2004 r. 2 IX 2004 r. 19 VIII 2004 r. 5 VIII 2004 r. 22 VII 2004 r. 8 VII 2004 r. 0 1 VII 2004 r. Liczba ataków typu phishing 600 Data Rys. 30. Wzrost liczby ataków typu phishing w poszczególnych tygodniach Źródło: Symantec Corporation 75 Raport firmy Symantec na temat bezpieczeństwa w Internecie 45 mln Średnia krocząca Liczba ataków typu phishing 40 mln Liczba ataków typu phishing 35 mln 30 mln 25 mln 20 mln 15 mln 10 mln 23 XII 2004 r. 9 XII 2004 r. 25 XI 2004 r. 11 XI 2004 r. 28 X 2004 r. 14 X 2004 r. 30 IX 2004 r. 16 IX 2004 r. 2 IX 2004 r. 19 VIII 2004 r. 5 VIII 2004 r. 22 VII 2004 r. 8 VII 2004 r. 0 mln 1 VII 2004 r. 5 mln Data Rys. 31. Liczba zablokowanych prób phishingu Źródło: Symantec Corporation Liczba wiadomości e-mail typu phishing Niniejszy podrozdział omawia udział wiadomości e-mail typu phishing w całkowitej liczbie wiadomości przetworzonych przez rozwiązanie Symantec Brightmail AntiSpam. Wskaźnik ten jest wyznaczany na podstawie liczby wiadomości, które wyzwalają akcję blokującą zainstalowanych w terenie filtrów przeciwdziałających oszustwom. Filtry te są rozproszone wśród klientów firmy Symantec. W okresie od 1 lipca do 31 grudnia 2004 r. zwiększył się udział procentowy wiadomości typu phishing wśród wszystkich wiadomości e-mail. Wskaźnik ten wzrósł z 0,1% wszystkich przetworzonych wiadomości (co stanowi średnio 1 mln oszukańczych wiadomości dziennie) do 0,6% wszystkich przetworzonych wiadomości (co stanowi średnio 4,5 mln oszukańczych wiadomości dziennie – zob. rys. 32). W dniach szczytu obserwowano wiele ponad 9 mln wiadomości typu phishing. W badanym okresie średni procentowy udział wiadomości typu phishing w przetworzonej poczcie elektronicznej wyniósł 0,4%. Na pozór wskaźnik ten może się wydawać mały, ale wielkość ta oznacza, że jedna na 250 odebranych wiadomości była atakiem typu phishing. W momentach szczytowych wartość ta wzrastała aż do jednej na 100 wiadomości. Jest to dość duży wzrost, zwłaszcza jeśli weźmiemy pod uwagę, że jeszcze dwa lata temu phishing nie był uznawany za poważne zagrożenie dla bezpieczeństwa. Zaprezentowane dane potwierdzają opinię, że zjawisko phishingu narasta i będzie w dalszym ciągu narastać w przyszłości. Uzasadnione jest przypuszczenie, że hakerzy wciąż poszukują nowych celów phishingu. Dodawanie nowych ofiar phishingu (tj. przedsiębiorstw, w które wymierzone są oszustwa) jest 76 Raport firmy Symantec na temat bezpieczeństwa w Internecie czynnikiem tłumaczącym liczne wartości maksymalne na wykresie, gdyż – jak się wydaje – występuje pewne opóźnienie pomiędzy momentem przeprowadzenia skutecznego ataku typu phishing a momentem, gdy ofiara wdroży właściwe monitorowanie pod kątem takich ataków. 1.5% Udział procentowy 1.2% 0.9% 0.6% 0.3% 31 XII 2004 r. 15 XII 2004 r. 1 XII 2004 r. 15 XI 2004 r. 1 XI 2004 r. 15 X 2004 r. 1 X 2004 r. 15 IX 2004 r. 1 IX 2004 r. 15 VIII 2004 r. 1 VIII 2004 r. 0.0% Data Rys. 32. Procentowy udział phishingu w skanowanych wiadomościach Źródło: Symantec Corporation Zapobieganie phishingowi i minimalizacja zagrożeń z nim związanych Firma Symantec zaleca, by użytkownicy instytucjonalni wdrożyli ochronę przed zagrożeniami o charakterze phishingu. Ochrona ta powinna polegać głównie na wykrywaniu i filtrowaniu poczty elektronicznej na poziomie serwera przy użyciu agenta przesyłania wiadomości (Mail Transfer Agent). Chociaż filtrowanie na tym poziomie prawdopodobnie pozostanie jednym z najważniejszych punktów filtrowania pod kątem phishingu, inne próby mogą być filtrowane za pomocą filtrów IP w punkcie styku z siecią nadrzędną oraz filtrów HTTP. Bardziej ogólną ochronę zapewniają listy blokowania DNS (DNS Block List), które mogą zmniejszyć niektóre zagrożenia związane z wiadomościami e-mail typu phishing. Listy blokowania DNS zapewniają ogólną ochronę adresów IP, na które przychodzi niepożądana poczta elektroniczna, ale często mogą powodować fałszywe alarmy. Rozwiązania takie jak SPF (Sender Policy Framework), klucze domen i inne podobne rozwiązania nie zapewniają skutecznej ochrony, gdyż hakerzy bez trudu wykupują domeny o nazwach podobnych do nazwy firmy będącej obiektem ataku, po czym konfigurują je zgodnie z SPF i innymi standardami, tak aby zapewnić traktowanie swoich wiadomości jak poczty legalnej z punktu widzenia SPF. 77 Raport firmy Symantec na temat bezpieczeństwa w Internecie Należy także przestrzegać najlepszych procedur korporacyjnych, takich jak monitorowanie dzienników operacji internetowych, aby upewnić się, że nie są pobierane pełne witryny WWW. Przedsiębiorstwa i instytucje mogą też monitorować domeny pokrewne86 kupowane przez inne podmioty. Śledzenie rejestracji nowych domen pokrewnych umożliwia przedsiębiorstwom rozpoznanie tych, które mogą być użyte do podszycia się pod domenę przedsiębiorstwa. Firma Symantec zaleca, aby oprócz stosowania najlepszych procedur postępowania, przedsiębiorstwa i instytucje zadbały o ogólną edukację użytkowników w zakresie phishingu, a w szczególności aby informowały ich o nowych oszustwach tego rodzaju87. Także użytkownicy powinni przestrzegać najlepszych procedur. Ponieważ niektóre ataki typu phishing mogą wykorzystywać oprogramowanie szpiegujące lub rejestrujące sekwencje naciśnięć klawiszy, firma Symantec zaleca również, by użytkownicy wdrożyli w swoich komputerach metody wykrywania oprogramowania. Ponadto firma Symantec doradza, by użytkownicy nigdy nie ujawniali jakichkolwiek informacji osobistych czy finansowych w przypadku najmniejszych wątpliwości co do tego, czy otrzymana wiadomość e-mail lub odwiedzana witryna WWW żądające takich informacji są autentyczne. Użytkownicy nie powinni ujawniać informacji poufnych, jeśli nie można upewnić się, że żądanie jest uprawnione. Spam W poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie przewidywaliśmy, że w dalszym ciągu będzie rosnąć ilość spamu i zagrożenia z tym związane88. Spam jest zwykle definiowany jako niepożądana poczta otrzymywana od podmiotów, których o to nie proszono. W badanym okresie spam stanowił ponad 60% ruchu w systemach poczty elektronicznej. Poza niewątpliwym zirytowaniem, jakie wywołuje w użytkownikach i administratorach, stanowi także poważne zagrożenie dla bezpieczeństwa, gdyż może być użyty do przesyłania koni trojańskich i wirusów, a także do podejmowania prób phishingu. Co więcej, duża ilość spamu może spowodować sytuację odmowy usługi (DoS), gdy systemy poczty elektronicznej są przeciążone w stopniu uniemożliwiającym przesyłanie legalnej poczty i innego ruchu sieciowego. W podrozdziale niniejszego Raportu firmy Symantec na temat bezpieczeństwa w Internecie dotyczącym spamu omówione zostaną zmiany które zaszły w okresie od 1 lipca do 31 grudnia 2004 r. Dane użyte do analizy opierają się na statystykach zebranych w sieci Symantec Probe Network – systemie obejmującym miliony adresów–przynęt, które zostały tak skonfigurowane, by przyciągnąć jak najwięcej ataków typu spam, będących reprezentatywną próbą spamu odbieranego przez domenę danego partnera uczestniczącego w badaniu. Atak może polegać na przesłaniu jednej wiadomości, kilku wiadomości bądź grupy podobnych wiadomości. Wszystkie ataki są odbierane i analizowane przez centrum BLOC , które opracowuje filtry antyspamowe. Sieć Symantec Probe Network symuluje istnienie wielu różnych użytkowników poczty elektronicznej, dzięki czemu przyciąga reprezentatywną próbę spamu krążącego w Internecie. Sieć jest stale optymalizowana, aby przyciągać nowe rodzaje spamu. W tym celu wprowadzane są wewnętrzne zmiany w jej działaniu, co z kolei wpływa na całkowitą liczbę nowych ataków typu spam odbieranych przez nią. Wszystkie godziny są podawane według czasu GMT. 86 Domena pokrewna (cousin domain) to domena, której nazwa zawiera słowa kluczowe z nazwy domeny danego przedsiębiorstwa lub instytucji. Na przykład w przypadku domeny korporacyjnej „wielkibank.com” mogą występować takie domeny pokrewne, jak „wielkibank–powiadomienia.com”, „wielki–bank–security.com” itd. Dobrym źródłem informacji na temat najnowszych zagrożeń jest witryna http://www.antiphishing.org. 87 Raport firmy Symantec na temat bezpieczeństwa w Internecie, wyd. VI (wrzesień 2004 r.), str. 45, http://enterprisesecurity.symantec.com/content.cfm?articleid=1539 87 78 Raport firmy Symantec na temat bezpieczeństwa w Internecie W niniejszym podrozdziale Raportu firmy Symantec na temat bezpieczeństwa w Internecie zostaną omówione następujące tematy: • aktywność zjawiska spamu i prognozy jego wzrostu • łączna liczba wiadomości związanych z nowymi atakami (w rozbiciu na dni tygodnia) • łączna liczba wiadomości a liczba znanych ataków dziennie. Aktywność zjawiska spamu i prognozy jego wzrostu Dane użyte do analizy opierają się na statystykach zebranych od klientów w terenie. Na infrastrukturę poczty elektronicznej wpływa wiele zmiennych, w związku z czym chociaż najlepsze procedury są często wspólne dla wielu klientów, ich sposób wdrażania rozwiązań ochrony poczty elektronicznej nieraz jest unikatowy. Zabezpieczenia poczty elektronicznej mogą być wdrażane na różnych poziomach – rutera, MX (centrali poczty) lub serwera pocztowego. Punkt, w którym jest wdrożone rozwiązanie antyspamowe, ma bezpośredni wpływ na statystyki zbierane w danym systemie. W niniejszym podrozdziale omówiona zostanie aktywność zjawiska spamu i prognozy jego wzrostu z uwzględnieniem tego, jak istotny jest problem spamu dla przedsiębiorstwa. Rysunek 33 przedstawia wzrost ilości spamu w 20 przedsiębiorstwach w znacznym stopniu dotkniętych tym problemem w lipcu 2004 r. Przedsiębiorstwa te odbierały w tym miesiącu największą ilość poczty ogółem (tj. poczty zawierającej spam i poczty niezakwalifikowanej jako spam). Dane dotyczą tej wybranej grupy przedsiębiorstw w całym badanym okresie sześciomiesięcznym. Fluktuacje ilości poczty elektronicznej niezakwalifikowanej przez filtry jako spam (a więc legalnej poczty i małej ilości niewykrytego spamu) były niewielkie. W związku z tym liczba legalnych wiadomości e-mail była mniej więcej stała przez cały badany okres. Wybór wyżej wspomnianych 20 firm był podyktowany faktem, że w przedsiębiorstwach o największej ilości poczty ogółem występują najmniejsze fluktuacje dziennej ilości poczty. Ponadto przedsiębiorstwa takie stosują surowsze reguły kontroli zmian w swojej infrastrukturze poczty elektronicznej, w związku z czym występuje mniej zmiennych wpływających na ilość poczty przetwarzanej na poziomie agenta MTA. W od 1 lipca do 31 grudnia 2004 r. wystąpił 77-procentowy wzrost ilości spamu przychodzącego do wybranych przedsiębiorstw (zob. rys. 33). Przedsiębiorstwa dotknięte poważnymi problemami ze spamem w dalszym ciągu obserwują szybki wzrost ilości niechcianej poczty. Łączna liczba wiadomości typu spam wzrosła ze średnio 800 mln tygodniowo na początku do ponad 1,2 mld tygodniowo pod koniec badanego okresu sześciomiesięcznego. Łączna liczba wiadomości związanych z nowymi atakami (w rozbiciu na dni tygodnia) W okresie od 1 lipca do 31 grudnia 2004 r. sieć Symantec Probe Network odbierała dziennie średnio 4 696 122 wiadomości związanych z nowymi atakami (przez nowe ataki rozumie się nowe grupy sondowanych wiadomości e-mail, nieuwzględnione w bazie danych centrum BLOC). Najwięcej nowych ataków przychodziło do sieci Symantec Probe Network w poniedziałki (zob. rys. 34). Można przypuszczać, że w poniedziałki hakerzy wprowadzają nowe taktyki i w związku z tym podejmują więcej ataków. Łączna liczba wiadomości odbieranych przez sieć Symantec Probe Network wyrównuje się 79 Raport firmy Symantec na temat bezpieczeństwa w Internecie w pozostałe dni tygodnia, z lekkim wzrostem w piątek. 2.0 mld Wszystkie wiadomości Spam Liczba wiadomości e-mail 1.5 mld 1.0 mld Data Rys. 33. Ilość spamu odbieranego tygodniowo przez wybrane przedsiębiorstwa Źródło: Symantec Corporation 140 mln 128 mln 120 mln 124 mln 121 mln 122 mln 125 mln 114 mln 111 mln New messages 100 mln 80 mln 60 mln 40 mln 20 mln 0 mln niedziele poniedziałki wtorki środy czwartki piątki Dzień tygodnia Rys. 34. Łączna liczba wiadomości związanych z nowymi atakami, w rozbiciu na dni tygodnia Źródło: Symantec Corporation 80 soboty 23 XII 2004 r. 9 XII 2004 r. 25 XI 2004 r. 11 XI 2004 r. 28 X 2004 r. 14 X 2004 r. 30 IX 2004 r. 16 IX 2004 r. 2 IX 2004 r. 19 VIII 2004 r. 5 VIII 2004 r. 22 VII 2004 r. 8 VII 2004 r. 0.0 mld 1 VII 2004 r. 0.5 mld Raport firmy Symantec na temat bezpieczeństwa w Internecie Chociaż w poniedziałki przychodziło więcej spamu, ta zmiana ilości była niewielka w porównaniu z łączną liczbą wiadomości. Liczba znanych ataków typu spam (tj. ataków już uwzględnianych przez filtry antyspamowe) pozostawała stosunkowo stała przez cały tydzień, z lekkim spadkiem w środy. Najmniejszą ilość spamu w ciągu tygodnia odbierano w soboty i niedziele. Łączna liczba wiadomości a liczba znanych ataków dziennie W okresie od 1 lipca do 31 grudnia 2004 r. sieć Symantec Probe Network odbierała dziennie średnio 11 069 154 wszystkich wiadomości, w tym być może nowe, nieznane wiadomości typu spam (zob. rys. 35). (Nieznana wiadomość typu spam to inne określenie nowego ataku typu spam, czyli ataku niezarejestrowanego dotąd w bazie danych centrum BLOC ). Liczba wiadomości zawierających znane ataki typu spam wynosiła średnio 6 373 032 dziennie. Na podstawie danych omawianych w niniejszym podrozdziale można zauważyć efekty wewnętrznych zmian i optymalizacji sieci Symantec Probe Network. Ponieważ ataki typu spam bezustannie ewoluują, niezbędne jest wprowadzanie zmian w działaniu tej sieci, pozwalających nadążać za taką ewolucją. Zmiany te polegają na usuwaniu sond, które przyciągają mało spamu, oraz na opracowywaniu i aktywowaniu nowych sond. Skutkiem tych działań jest zmniejszanie się lub zwiększanie łącznej liczby wiadomości e-mail odbieranych przez sieć Symantec Probe Network. Liczba ta jest przedstawiona na rys. 35 kolorem ciemnoszarym. Liczba znanych ataków typu spam jest przedstawiona kolorem jasnoszarym. 18M Wszystkie wiadomości Znane ataki typu spam 12M 9M 6M 3M 28 XII 2004 r. 18 XII 2004 r. 8 XII 2004 r. 28 XI 2004 r. 18 XI 2004 r. 8 XI 2004 r. 29 X 2004 r. 19 X 2004 r. 9 X 2004 r. 29 IX 2004 r. 19 IX 2004 r. 9 IX 2004 r. 30 VIII 2004 r. 20 VIII 2004 r. 10 VIII 2004 r. 31 VII 2004 r. 21 VII 2004 r. 11 VII 2004 r. 0 1 VII 2004 r. Liczba wiadomości 15M Data Rys. 35. Łączna liczba wiadomości, w tym nowych ataków typu spam, w porównaniu z liczbą znanych ataków typu spam Źródło: Symantec Corporation 81 Raport firmy Symantec na temat bezpieczeństwa w Internecie Fluktuacje liczby znanych ataków typu spam były mniejsze niż fluktuacje liczby wszystkich odebranych wiadomości. Są one związane są z jednej strony z odbieraniem większej liczby nowych ataków typu spam, a z drugiej – z wdrażaniem filtrów antyspamowych blokujących je. Z tego względu przedstawiona analiza może służyć do oceny zarówno efektywności odbierania poczty przez sieć Symantec Probe Network, jak i efektywności tworzenia filtrów przeciw nowym atakom. Należy dodać, że zmiany liczby wiadomości odbieranych przez sieć Symantec Probe Network niekoniecznie odzwierciedlają tendencje wzrostu ilości spamu w całym Internecie, a jedynie tendencje dotyczące nowych ataków przyciąganych przez sieć Symantec Probe Network w celu opracowania nowych filtrów. Rosnąca liczba nowych ataków widoczna w ostatnich trzech miesiącach badanego okresu odzwierciedla rozszerzenie sieci Symantec Probe Network na nowe kraje oraz zwiększanie pokrycia poszczególnych krajów tą siecią. Na początku października 2004 r. uruchomiono nowe konta, zawierające wiele sond przyciągających wiadomości międzynarodowe i w językach obcych. Aktywowanie tych sond w październiku ponownie zwiększyło łączną liczbę wiadomości odbieranych przez sondy (do poziomu z lipca), a aktywowanie kolejnych sond pod koniec listopada jeszcze bardziej podniosło tę liczbę. Raptowny wzrost łącznej liczby wiadomości zwiększył również różnorodność spamu. Opracowywanie filtrów przeciwko tym nowym atakom typu spam spowodowało stopniowe zwiększanie się liczby wiadomości odfiltrowanych, czyli znanych ataków typu spam w drugiej połowie omawianego półrocznego okresu (tj. między 1 października a 31 grudnia 2004 r.). Średnia dzienna liczba wszystkich wiadomości i wiadomości związanych ze znanymi atakami wykazała w badanym okresie sześciomiesięcznym (od 1 lipca do 31 grudnia 2004 r.) bardzo mały wzrost. W dniu 1 lipca 2004 r. odebrano łącznie 11 822 284 wiadomości, a w dniu 31 grudnia 2004 r. – 12 671 366. Jednak między 1 lipca a 26 września, kiedy odebrano najmniej wiadomości (6 704 900), wystąpił 43-procentowy spadek łącznej liczby wiadomości odbieranych dziennie. Jednym z czynników wpływających na zmniejszenie liczby wiadomości odbieranych przez sieć Symantec Probe Network w badanym okresie było udoskonalenie lub wyłączenie sond przywabiających małą ilość spamu (bądź zbyt dużą ilość legalnej poczty). Początkowo wyłączenie sond umożliwia centrum BLOC skoncentrowanie się na opracowywaniu nowych filtrów na podstawie mniejszego zbioru odbieranych wiadomości typu spam. Jednak wyłączone słabo działające sondy muszą być uzupełnione nowymi sondami w celu przyciągania większych ilości ataków typu spam. 82 Raport firmy Symantec na temat bezpieczeństwa w Internecie Spojrzenie w przyszłość W poprzednich rozdziałach niniejszego Raportu przedstawiono rozwój zagrożeń internetowych zaobserwowany między 1 lipca a 31 grudnia 2004 r. W tym rozdziale Raportu omówiono wyłaniające się tendencje i problemy, które zdaniem firmy Symantec rozwiną się w nadchodzącym roku. Przedstawione prognozy są oparte na danych, które firma Symantec zgromadziła w obecnie badanym okresie. Przewidując kształtowanie się przyszłych tendencji, firma Symantec ma nadzieję umożliwić firmom i instytucjom lepsze przygotowanie się do szybkich zmian zachodzących w środowisku zabezpieczeń, w jakim działają, oraz do wzrostu jego złożoności. Wirusy i robaki wykorzystujące luki w zabezpieczeniach po stronie klienta W poprzednich dwóch badanych okresach firma Symantec ostrzegała użytkowników przed lukami w zabezpieczeniach oprogramowania instalowanego po stronie klienta, zarówno na komputerach użytkowników indywidualnych, jak i przedsiębiorstw. W rozdziale „Spojrzenie w przyszłość” poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie wspomniano, a w rozdziałach „Tendencje dotyczące luk w zabezpieczeniach” i „Tendencje dotyczące destrukcyjnego kodu” niniejszej edycji Raportu wyjaśniono dokładniej, iż luki w zabezpieczeniach po stronie klienta stają się coraz poważniejszym zagrożeniem dla bezpieczeństwa. Poprzednio strategie bezpieczeństwa koncentrowały się na ochronie brzegów sieci: serwerach, zaporach ogniowych i innych zasobach eksponowanych na zewnątrz sieci przedsiębiorstwa. Jednak ostatnio sytuacja się zmieniła i coraz większego znaczenia nabiera bezpieczeństwo systemów po stronie klienta, a przede wszystkim komputerów-hostów wykorzystywanych przez użytkowników. Dzieje się tak dlatego, że administratorzy potrafią coraz skuteczniej zabezpieczać brzegi sieci, w związku z czym hakerzy poszukują innych sposobów atakowania. W efekcie zarówno badacze luk w zabezpieczeniach, jak i hakerzy coraz bardziej koncentrują się na oprogramowaniu instalowanym w poszczególnych systemach-klientach, a nie tylko na samych systemach operacyjnych. Dobrym przykładem takiej luki w zabezpieczeniach po stronie klienta jest Microsoft GDI+ Library JPEG Segment Length Integer Underflow Vulnerability 89. Firma Symantec uważa, że obecny wzrost zainteresowania atakami na systemy klienckie nasili użycie robaków w charakterze mechanizmu początkowego rozprzestrzeniania się ataków wymierzonych w specyficzne luki w zabezpieczeniach po stronie klienta. Wirusy i robaki są bardzo skuteczną metodą początkowego rozprzestrzeniania się ataków na systemy klienckie i firma Symantec uważa, że robaki rozprzestrzeniające się w taki sposób będą występować coraz częściej90. To może oznaczać, że tradycyjne mechanizmy i procedury zabezpieczeń staną się mniej efektywne z punktu widzenia ochrony sieci jako całości. Zarówno administratorzy, jak i użytkownicy powinni nasilić czujność w celu należytego zabezpieczenia tych nowych dróg infekcji. Oprogramowanie typu bot i sieci komputerów nim zainfekowanych wykorzystywane do uzyskiwania korzyści finansowych Jak omówiono w rozdziale „Tendencje dotyczące ataków” niniejszego Raportu, chociaż firma Symantec zaobserwowała spadek liczby sieci komputerów zainfekowanych oprogramowaniem typu bot w ostatnich 89 90 http://www.securityfocus.com/bid/11173 http://tms.symantec.com/ClientSideExploitation.asp 83 Raport firmy Symantec na temat bezpieczeństwa w Internecie sześciu miesiącach, ich aktywność w dalszym ciągu stwarza problemy. Firma Symantec uważa, że zagrożenie tą formą ataku będzie w dalszym ciągu rosnąć, zwłaszcza z punktu widzenia konsekwencji finansowych. Wobec wzrostu liczby bardziej wyrafinowanych ataków typu phishing i ataków z użyciem destrukcyjnego kodu, w niniejszej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie stwierdzono, że oprogramowanie typu bot jest coraz częściej używane do osiągania nielegalnych korzyści finansowych. Firma Symantec przewiduje, że ta tendencja będzie narastać w miarę rozpowszechniania się nowych, zróżnicowanych metod infekowania nowych komputerów oprogramowaniem typu bot i tworzenia ich sieci. Bardzo łatwo jest opracować oprogramowanie typu bot o ściśle określonych, wąskich funkcjach. Ponieważ pozwala ono na zdalne uaktualnianie i dodawanie nowych możliwości funkcjonalnych, sposób działania sieci komputerów zainfekowanych nim można bardzo łatwo zmieniać. Dzięki temu autorzy takiego oprogramowania mogą wykorzystywać swoje sieci do osiągnięcia korzyści materialnych. Na przykład, jak wspomniano w rozdziale „Tendencje dotyczące destrukcyjnego kodu” niniejszego Raportu, komputery zainfekowane oprogramowaniem typu bot są często używane jako systemy tranzytowe w celu rozpowszechniania wiadomości o charakterze spamu i phishingu. Firma Symantec przewiduje, że w najbliższej przyszłości należy się spodziewać wzrostu liczby właścicieli takich sieci, którzy będą modyfikować je i wynajmować m.in. do wyżej wspomnianych celów. Komputery zainfekowane oprogramowaniem typu bot są często używane do przeprowadzania ataków typu odmowa usługi (DoS) przeciwko różnym przedsiębiorstwom i instytucjom91. Ich sieci coraz częściej są wykorzystywane do działań o charakterze wymuszenia92. Działania takie polegają na tym, że haker kontaktuje się z właścicielem strony internetowej, zazwyczaj serwisem handlu elektronicznego lub kasynem online, i domaga się okupu. W przypadku niespełnienia tych żądań, grozi przypuszczeniem ataku typu odmowa usługi przeciwko witrynie i tym samym zablokowania przychodów. Raporty policyjne i wyrywkowe doniesienia wskazują, że tego rodzaju wymuszenia w niektórych przypadkach kończyły się sukcesem hakerów93. Z uwagi na coraz większy poziom zaawansowania najnowszego oprogramowania typu bot, likwidacja sieci komputerów zainfekowanych nim staje się coraz trudniejsza. Zdaniem firmy Symantec są podstawy przypuszczać, że w najbliższej przyszłości tego rodzaju działalność będzie się nasilać. Coraz bardziej szkodliwy kod destrukcyjny do urządzeń mobilnych obserwowany w warunkach rzeczywistych Jak zauważono w poprzedniej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie, pojawił się już przykład destrukcyjnego kodu do urządzeń mobilnych – robak Cabir 94. Telefony komórkowe i komputery kieszonkowe (PDA) stają się coraz bardziej zaawansowane, a łączność komórkowa jest stosowana coraz powszechniej. W tej sytuacji rosną również możliwości opracowywania kodu destrukcyjnego na takie urządzenia. Firma Symantec przewiduje, że w ciągu najbliższych sześciu miesięcy pojawi się więcej przykładów tego rodzaju destrukcyjnego kodu wykorzystywanego w warunkach rzeczywistych. Pod koniec grudnia 2004 r. doniesiono o pojawieniu się konia trojańskiego, który instaluje robaka Cabir w telefonach komórkowych pracujących w systemie operacyjnym Symbian95. Ten koń trojański maskuje się jako program instalacyjny do popularnej gry wideo, zachęcając użytkowników do pobrania go i zainstalowania w telefonie. Chociaż skutki jego działania nie są katastrofalne, istnienie robaka Cabir jest 91 http://www.securityfocus.com/news/9411 http://www.theregister.co.uk/2004/07/21/cyber_shakedown_taken_down/ http://www.businessweek.com/magazine/content/04_32/b3895106_mz063.htm 94 http://securityresponse.symantec.com/avcenter/venc/data/epoc.cabir.html 95 http://www.symantec.com/avcenter/venc/data/symbos.mgdropper.html 92 93 84 Raport firmy Symantec na temat bezpieczeństwa w Internecie sygnałem, że przypuszczalnie wkrótce pojawią się inne podobnego rodzaju programy destrukcyjne, bardziej szkodliwe w skutkach. Pojawienie się konia trojańskiego SymbOS.Skulls 96 w listopadzie 2004 r. nasiliło te obawy. Program ten nie tylko wymieniał ikony w zainfekowanym urządzeniu, lecz także uniemożliwiał funkcjonowanie większości aplikacji. Potwierdzeniem hipotezy, że wkrótce pojawią się groźniejsze i bardziej szkodliwe ataki, jest fakt, że pod koniec grudnia 2004 r. został publicznie ujawniony kod źródłowy robaka Cabir 97. Na podstawie przypadków z różnymi przykładami oprogramowania typu bot, których kod źródłowy został publicznie ujawniony, firma Symantec przypuszcza, że w najbliższej przyszłości pojawią się liczne nowe warianty tego robaka bądź inne programy destrukcyjne oparte na tym samym kodzie źródłowym. Jak dotąd zdolność robaka Cabir do rozprzestrzeniania się była ograniczona ze względu na ograniczenia nakładane przez systemy operacyjne Symbian. Jednak dostępność kodu źródłowego umożliwi teraz innym hakerom opracowywanie nowych wariantów zdolnych do ominięcia tych ograniczeń. Istnieje wiele grup poszukujących luk w zabezpieczeniach urządzeń obsługujących standard Bluetooth98, co zwiększa prawdopodobieństwo wykorzystania takich ewentualnych luk do rozprzestrzeniania się robaków bądź innych typów destrukcyjnego kodu. Kod przetwarzający osadzony w treściach audio i wideo 14 września 2004 r. Microsoft poinformował99 o luce w zabezpieczeniach swojej implementacji formatu plików graficznych JFIF (JPEG). Umożliwia ona tworzenie destrukcyjnych plików graficznych, uruchamiających destrukcyjny kod na hoście, który wyświetla dany obraz. Już w osiem dni później opublikowano funkcjonalny kod wykorzystujący tę lukę. Praktyczne wykorzystanie w rzeczywistych warunkach tej luki przez destrukcyjny kod zaobserwowano niedługo potem100. Dotychczas pliki graficzne były ogólnie uznawane za stosunkowo godne zaufania, nawet gdy były osadzone w treściach pochodzących z zewnątrz, np. na stronach WWW lub w wiadomościach e-mail w formacie HTML. Jednak pliki graficzne, zwłaszcza gdy używają kompresji tak jak JPEG, to formaty bardzo skomplikowane i ich wizualizacja wymaga złożonego kodu. Im większa złożoność, tym większa możliwość pojawienia się i wykrycia luk w zabezpieczeniach. Takie luki występują w szeregu implementacji formatów plików graficznych, w tym PNG i TIFF. Sytuacja taka jest niepokojąca, gdyż pliki graficzne są wszechobecne i powszechnie uważane za godne zaufania, a przy tym stanowią nieodłączny składnik współczesnego użytkowania komputerów. Na przykład użytkownik przeglądający zaufaną witrynę WWW, taką jak serwis aukcji online, może stać się ofiarą ataku z użyciem obrazu zawierającego destrukcyjny kod, złośliwie umieszczonego w witrynie, a to może doprowadzić do zainfekowania jego systemu. Luki w zabezpieczeniach formatów plików graficznych dające się wykorzystać przez hakerów wzbudzają również coraz większe obawy związane z innymi danymi osadzonymi lub pochodzącymi z zewnątrz, takimi jak pliki audio i wideo. Wykrycie tego rodzaju luk w zabezpieczeniach potwierdza obserwowaną tendencję przechodzenia od ataków na brzegi sieci ku atakom na systemy klienckie, o czym niejednokrotnie była mowa w niniejszym Raporcie firmy Symantec na temat bezpieczeństwa w Internecie. Firma Symantec przypuszcza, że hakerzy będą w dalszym ciągu wykorzystywać luki w zabezpieczeniach kodu służącego do przetwarzania złożonych formatów danych, np. plików audio i wideo, starając się w ten sposób znaleźć nowe drogi ataku na systemyklienty. 96 http://securityresponse.symantec.com/avcenter/venc/data/symbos.skulls.html http://www.theregister.co.uk/2004/12/29/cabir_code_unleashed/ http://www.securityfocus.com/archive/1/371443 i http://trifinite.org/trifinite_stuff.html 99 http://www.microsoft.com/technet/security/bulletin/ms04-028.mspx 100 http://securityresponse.symantec.com/avcenter/venc/data/trojan.ducky.html 97 98 85 Raport firmy Symantec na temat bezpieczeństwa w Internecie Nieautoryzowane dołączanie koni trojańskich do oprogramowania innych firm W związku z obserwowaną w ostatnich kilku latach rosnącą popularnością pakietów oprogramowania o otwartym dostępie do kodu źródłowego (open source), pojawiła się nowa niepokojąca tendencja. W 2002 r. wykryto tylne wejścia w szeregu popularnych pakietów oprogramowania open source, takich jak Sendmail 101 i Fragrouter 102. Później, pod koniec 2003 r., wykryto próbę umieszczenia tylnego wejścia w jądrze systemu Linux103. Od tego czasu odkryto bardzo niewielką liczbę koni trojańskich skrycie osadzonych w publicznie dostępnym oprogramowaniu, zarówno z otwartym jak i zamkniętym dostępem do kodu źródłowego. Nie wydaje się prawdopodobne, by wszystkie punkty dystrybucji oprogramowania były stuprocentowo zabezpieczone i wolne od ingerencji hakerów, jak też by hakerzy – wewnętrzni lub zewnętrzni – postanowili gremialnie powstrzymać się od umieszczania tylnych wejść w oprogramowaniu. Raczej przeciwnie, zdaniem firmy Symantec jest prawdopodobne, że niektóre (być może zdezaktualizowane) witryny dystrybuują oprogramowanie z jeszcze niewykrytymi tylnymi wejściami. Ewentualność przedostania się kodu typu tylne wejście do pobieranych pakietów oprogramowania pozostaje bardzo realnym zagrożeniem dla użytkowników wszystkich platform. Szczególny niepokój wzbudza wielka liczba serwerów lustrzanych104 oraz serwerów FTP udostępniających kopie aplikacji i pakietów. Problem ten jest dodatkowo spotęgowany faktem, że większość systemów operacyjnych wymaga regularnego pobierania uaktualnień z witryn WWW lub serwerów lustrzanych. Autentyczności większości pobieranego oprogramowania, takiego jak popularne aplikacje typu shareware, zwykle nie można zweryfikować, zwłaszcza że bardzo niewielu dostawców czy autorów oprogramowania z zamkniętym dostępem do kodu źródłowego opatruje swoje pakiety podpisami elektronicznymi105. Twórcy oprogramowania open source zazwyczaj zapewniają lepsze mechanizmy weryfikacji, takie jak MD5106, tym niemniej istnieją obawy, że również takie mechanizmy mogą być podatne na ataki107. Co więcej, mimo że niektóre pakiety zawierają mechanizmy automatycznego uwierzytelniania pobieranych uaktualnień, w wielu innych brakuje takich mechanizmów. Każdy serwer dystrybuujący oprogramowanie, jeśli zostaną w nim złamane zabezpieczenia, może stać się potencjalnym źródłem dystrybucji destrukcyjnego kodu zawartego w nielegalnie zmodyfikowanym oprogramowaniu i sytuacja taka może zostać wykryta dopiero po zainfekowaniu wielu sieci i pojedynczych komputerów. Firma Symantec obawia się, że może zostać wykryty poważny przypadek umieszczenia tylnego wejścia w popularnej aplikacji bądź w repozytorium dystrybuującym oprogramowanie. Może to zaalarmować użytkowników indywidualnych i korporacyjnych oraz skłonić ich do weryfikowania integralności oraz autentyczności pobieranego oprogramowania przed jego zainstalowaniem. Narastające zagrożenia dla bezpieczeństwa systemu Mac OS System operacyjny Macintosh® był dotąd stosunkowo odporny na działania hakerów, zwłaszcza w porównaniu z takimi systemami, jak Linux i Windows. Jednak wprowadzenie i popularność systemu Mac OS X108 spowodowały, że firma Apple® Computer również stała się celem ataków wykorzystujących luki w zabezpieczeniach. Ten nowo zaprojektowany system, wywodzący się z produktu BSD-UNIX, zaczął przyciągać uwagę nie tylko użytkowników, lecz także badaczy luk w zabezpieczeniach. 101 http://www.securityfocus.com/bid/5921/info/ http://www.securityfocus.com/archive/1/296407 http://www.securityfocus.com/news/7388 104 Serwery lustrzane to repozytoria oprogramowania rozproszone geograficznie w celu wyrównania obciążenia przy pobieraniu oprogramowania. Serwer lustrzany zawiera dokładną kopię oprogramowania udostępnianego przez serwer główny. 105 Podpis elektroniczny pakietu gwarantuje użytkownikowi, że pobierane oprogramowanie nie zostało zmanipulowane lub zmodyfikowane bez upoważnienia. 106 http://userpages.umbc.edu/~mabzug1/cs/md5/md5.html 107 http://www.securityfocus.com/archive/1/383574 108 Przykłady niektórych z nich można znaleźć pod adresem http://www.securityfocus.com/bid/11802/info/. 102 103 86 Raport firmy Symantec na temat bezpieczeństwa w Internecie W ubiegłym roku firma Symantec udokumentowała 37 poważnych (zakwalifikowanych do wysokiego poziomu istotności) luk w zabezpieczeniach systemu Mac OS X. Luki te zostały potwierdzone przez producenta, co w przypadku firmy Apple prawie zawsze oznacza wprowadzenie programu korygującego. Pojawienie się w październiku 2004 r. zestawu narzędziowego typu rootkit 109 pod nazwą Opener 110 stanowi dobrą ilustrację wzmożenia badań nad lukami w zabezpieczeniach platformy Mac OS X. Ponadto wykryto wiele luk w zabezpieczeniach możliwych do wykorzystania zdalnego i lokalnego111, zarówno w systemie Mac OS X do serwera, jak i w jego wersji do komputerów osobistych. Luki w zabezpieczeniach systemu obsługi okien i zestawu dla programistów firmy Apple oraz w domyślnej konfiguracji serwera Apple Apache to dwie spośród dziewięciu luk, do których firma wprowadziła programy korygujące (nie wszystkie te luki były poważne). Różne luki w zabezpieczeniach systemu Mac OS X umożliwiają hakerom ujawnianie informacji, pomijanie uwierzytelniania, aktywowanie kodu, zwiększanie uprawnień oraz przeprowadzanie ataków typu odmowa usługi. Wbrew powszechnemu przekonaniu, nie jest prawdą, że system operacyjny Macintosh nigdy nie był zagrożony destrukcyjnym kodem112. Chociaż przez pewien czas opinia publiczna nie zdawała sobie z tego sprawy, obecnie jest jasne, że Mac OS jest coraz częściej celem ataków kojarzonych dotąd głównie z systemami firmy Microsoft i różnymi systemami uniksowymi. Firma Symantec uważa, że popularność nowej platformy firmy Apple będzie wzrastać i równolegle będzie wzrastać liczba ataków na nią skierowanych. Penetracja rynku przez platformy Macintosh zwiększy się wskutek wprowadzenia modelu Mac® mini, który jako znacznie tańszy może być kupowany przez użytkowników mniej zaawansowanych i przez to mniej obeznanych z kwestiami bezpieczeństwa. W związku z tym należy oczekiwać, że liczba luk w zabezpieczeniach będzie rosła, podobnie jak intensywność ataków ukierunkowanych na ich wykorzystanie. Należy jednak stwierdzić, że chociaż można oczekiwać wzrostu liczby luk w zabezpieczeniach systemów Macintosh, prawdopodobnie jeszcze przez jakiś czas będzie ich mniej niż w innych systemach operacyjnych. Problemy zwalczania oprogramowania typu adware i szpiegowskiego środkami prawnymi Jak to omówiono w rozdziale „Dodatkowe zagrożenia bezpieczeństwa” niniejszego Raportu firmy Symantec na temat bezpieczeństwa w Internecie, oprogramowanie typu adware (wyświetlające reklamy) i szpiegowskie stanowi poważne zagrożenie dla prywatności, poufności oraz ochrony danych osobowych. Firma Symantec obawia się, że w miarę rozprzestrzeniania się oprogramowania tych dwóch rodzajów, istniejące regulacje prawne113 mające na celu ochronę przed nielegalnym wykorzystywaniem takich programów okażą się niedostatecznym środkiem odstraszającym. W ciągu następnych sześciu miesięcy funkcje oprogramowania typu adware i jego dystrybucja staną się przedmiotem bardziej intensywnych studiów ze strony organizacji zainteresowanych ochroną prywatności. Oczekuje się, że w niedalekiej przyszłości rozwiną się standardy dotyczące oprogramowania tego typu, kładące nacisk na warunki umowy licencyjnej z użytkownikiem, możliwości odinstalowywania oraz stopień utajenia instalowania się takich programów w systemie użytkownika. Innym problemem jest to, że niektóre z takich programów uparcie opierają się normalnym procedurom usuwania ich z systemu. 109 Rootkit to zestaw narzędzi służących hakerom do uzyskiwania nieograniczonego dostępu do systemu komputerowego, często w sposób niewykrywalny dla innych. http://www.securityfocus.com/news/9796 111 http://www.securityfocus.com/bid/11802 112 http://www.faqs.org/faqs/computer-virus/macintosh-faq/ 113 http://www.leginfo.ca.gov/pub/03-04/bill/sen/sb_1401-1450/sb_1436_bill_20040928_chaptered.html 110 87 Raport firmy Symantec na temat bezpieczeństwa w Internecie Firma Symantec przewiduje, że zjawisko dołączania programów typu adware do pakietów innego oprogramowania będzie się nasilać, gdyż jest to skuteczna metoda instalowania takich programów. Gwałtowny wzrost ilości oprogramowania typu adware w ostatnich kilku latach wskazuje, że zapewnia ono stosunkowo dobry zwrot z inwestycji. Firma Symantec przypuszcza, że będzie to czynnikiem stymulującym opracowywanie i implementowanie oprogramowania typu adware, pomimo istnienia ustaw mających na celu ograniczenie stosowania go. Należy przypuszczać, że prawo takie nie będzie skuteczne. Internet ze swojej natury przekracza swobodnie granice państw, co powoduje poważne problemy natury legislacyjnej, zwłaszcza w przypadku, gdy dystrybucja jest prowadzona z miejsca, gdzie takie prawo nie obowiązuje. Oznacza to, że oprogramowanie typu adware może stać się bardziej kłopotliwe dla użytkowników, gdyż ściganie takiej działalności będzie wymagało współpracy organów wymiaru sprawiedliwości różnych krajów, a tego nie zawsze można oczekiwać. Zagrożenia ze strony oprogramowania szpiegowskiego również będą się nasilać. Oprogramowanie takie narusza prywatność i poufność oraz zwiększa ryzyko kradzieży tożsamości. Może to stanowić istotny problem zarówno dla przedsiębiorstw, jak i dla użytkowników indywidualnych. Ofiary takich ataków borykają się z kłopotami nie tylko na poziomie technicznym, lecz także życiowym, np. muszą uzyskać nowe karty kredytowe, sprawdzić i skorygować dokumenty finansowe, sprostować obciążenia kart kredytowych oraz prześledzić inne możliwe nadużycia skradzionych danych. 88 Raport firmy Symantec na temat bezpieczeństwa w Internecie Załącznik A – Najlepsze procedury zalecane przez firmę Symantec Najlepsze procedury zalecane dla przedsiębiorstw 1. Wyłączyć i usunąć niepotrzebne usługi. 2. Jeśli zagrożenie hybrydowe zaatakuje jedną lub więcej usług sieciowych, wyłączyć te usługi lub zablokować dostęp do nich do momentu wdrożenia programu korygującego. 3. Pilnować aktualności programów korygujących, zwłaszcza w przypadku komputerów, które świadczą usługi publiczne i są dostępne za pośrednictwem zapory ogniowej, takich jak serwery HTTP, FTP, poczty elektronicznej i DNS. 4. Egzekwować przestrzeganie reguł dotyczących haseł. 5. Skonfigurować serwer poczty elektronicznej w taki sposób, aby blokował lub usuwał wiadomości e-mail zawierające załączniki często używane do rozprzestrzeniania wirusów, takie jak pliki .vbs, .bat, .exe, .pif i .scr. 6. Natychmiast izolować zainfekowane komputery, aby zapobiec rozszerzaniu się infekcji w systemie przedsiębiorstwa. Przeprowadzić dochodzenie i przywrócić odpowiedni stan komputerów przy użyciu zaufanych nośników. 7. Poinstruować pracowników, aby nie otwierali niespodziewanych załączników. Przed uruchomieniem oprogramowania pobranego z Internetu sprawdzać je za pomocą mechanizmów antywirusowych. 8. Wdrożyć odpowiednie procedury reagowania w sytuacjach awaryjnych. 9. Uświadomić kierownictwu potrzeby budżetowe związane z ochroną. 10. Przetestować zabezpieczenia w celu upewnienia się, że wdrożono odpowiednie środki. 11. Zarówno programy szpiegujące, jak i programy typu adware mogą zostać automatycznie zainstalowane na komputerach razem z programami do udostępniania plików, darmowymi aplikacjami, programami typu freeware lub shareware, przez kliknięcie łącza lub załącznika w wiadomościach e-mail bądź za pośrednictwem komunikatorów (Instant Messaging). Należy upewnić się, że na komputerach biurkowych są zainstalowane tylko aplikacje zatwierdzone przez firmę. Najlepsze procedury zalecane dla użytkowników indywidualnych 1. Stosować zabezpieczenie internetowe obejmujące oprogramowanie antywirusowe, zaporę ogniową, mechanizm wykrywania włamań i funkcje zarządzania lukami w zabezpieczeniach. Rozwiązanie takie zapewnia maksymalną ochronę przed zagrożeniami hybrydowymi. 2. Dbać o aktualizacje zabezpieczeń. 3. Stosować hasła, które łączą litery i cyfry. Nie używać jako haseł wyrazów występujących w słowniku. Często zmieniać hasła. 4. Nigdy nie wyświetlać, nie otwierać ani nie uruchamiać żadnych załączników do poczty elektronicznej, jeśli nie zna się ich przeznaczenia. 89 Raport firmy Symantec na temat bezpieczeństwa w Internecie 5. Aktualizować definicje wirusów. Najnowsze definicje wirusów chronią przedsiębiorstwa i użytkowników indywidualnych przed najnowszymi wirusami rozprzestrzeniającymi się w sieci. 6. Użytkownicy indywidualni powinni regularnie sprawdzać, czy ich system PC lub Macintosh jest podatny na ataki, korzystając z usługi Symantec Security Check dostępnej pod adresem: www.symantec.com/securitycheck. 7. Wszyscy użytkownicy komputerów – bez względu na kategorię – muszą umieć rozpoznawać mistyfikacje i próby phishingu. Mistyfikacja (z ang. Hoax) to zazwyczaj fałszywe ostrzeżenie przesyłane pocztą elektroniczną, które wzywa, by rozesłać je do wszystkich znanych sobie osób. Wezwania takie są pisane nieprawidłowym żargonem technicznym w sposób mający na celu zastraszenie użytkownika lub wprowadzenie go w błąd. Natomiast próby phishingu są o wiele bardziej wyrafinowane. Polegają one na wysyłaniu do użytkowników fałszywych wiadomości e-mail, które sprawiają wrażenie wysłanych przez firmę o znanej marce i żądają podania numeru karty kredytowej lub innych poufnych informacji w formularzu w fałszywym serwisie internetowym, wyglądającym tak, jak serwis internetowy takiej znanej firmy. Użytkownicy indywidualni i pracownicy firm powinni zawsze sprawdzać, kto przesyła takie informacje oraz czy ich źródło jest godne zaufania. Najlepszym sposobem postępowania jest po prostu usuwanie tego rodzaju wiadomości e-mail. 8. Użytkownicy indywidualni mogą przyczynić się do zwalczania przestępczości komputerowej, śledząc i zgłaszając próby włamania. Usługa Symantec Security Check umożliwia użytkownikom szybkie określanie lokalizacji potencjalnych hakerów oraz przekazywanie tych informacji policji lub operatorowi Internetu świadczącemu usługi na rzecz atakującego. 9. Należy znać różnice między programami szpiegującymi a programami typu adware. Programy szpiegujące są wykorzystywane do przeprowadzania złośliwych ataków i kradzieży tożsamości, zaś programy typu adware służą do gromadzenia danych dla potrzeb marketingu i są opracowywane w słusznym, na ogół nieszkodliwym celu. 10. Zarówno programy szpiegujące, jak i programy typu adware mogą zostać automatycznie zainstalowane na komputerach razem z programami do udostępniania plików, darmowymi aplikacjami, programami freeware lub shareware, przez kliknięcie łącza lub załącznika w wiadomościach e-mail bądź za pośrednictwem komunikatorów (Instant Messaging). Należy zatem instalować w komputerze tylko aplikacje wybrane w oparciu o świadomą decyzję. 11. Nie należy bezmyślnie klikać przycisku „Tak, akceptuję” w umowach licencyjnych na oprogramowanie. Niektóre programy szpiegujące i typu adware mogą zostać zainstalowane po zaakceptowaniu warunków licencji lub jako produkt powiązany. Należy dokładnie zapoznać się z treścią umowy licencyjnej, aby określić jej skutki dla prywatności. Umowa powinna w przejrzysty sposób wyjaśniać, jak działa oprogramowanie, oraz powinna umożliwiać jego deinstalację. 12. Należy uważać na programy wyświetlające reklamy w interfejsie użytkownika. Wiele programów szpiegujących monitoruje reakcje użytkownika na te reklamy, a ich obecność powinna budzić niepokój. Reklamy w interfejsie użytkownika mogą oznaczać, że mamy do czynienia z programem szpiegującym. 90 Raport firmy Symantec na temat bezpieczeństwa w Internecie Załącznik B – Metodyka badań tendencji dotyczących ataków Tendencje dotyczące ataków opisane w niniejszym Raporcie są oparte na analizie danych zebranych przez usługi Symantec DeepSight Threat Management System i Symantec Managed Security Services. Obie te grupy usług stosują wspólną konwencję oznaczania typów ataków, co umożliwia analitykom łączenie danych o atakach i analizowanie ich wspólnie bądź oddzielnie. Firma Symantec łączy na potrzeby analizy dane z obu tych źródeł, gdy jest to uzasadnione, to znaczy gdy oba źródła zawierają atrybuty potrzebne do określonej analizy. W innych przypadkach korzysta tylko z jednego źródła, jeśli potrzebne atrybuty występują tylko w nim. Tabela 9 przedstawia ogólną charakterystykę metod stosowanych przez każde z wymienionych źródeł. Procent przedsiębiorstw w próbie Żródło danych Metodyka gromadzenia danych Symantec DeepSight Threat Management System System Symantec DeepSight Threat Management System gromadzizdarzenia sygnalizowane przez systemy IDS i zapory ogniowe z ponad 20 tys. urządzeńzabezpieczających, zainstalowanych w przeszło 180 krajach 60% Symantec Managed Security Services Usługi Symantec Managed Security Services zapewniają monitorowanie w czasie rzeczywistym i analizowanie ataków wymierzonych w przedsiębiorstwa z całego świata. Z uwagi na charakter monitorowania, niektóre statystyki, takie jak poziom istotności zdarzenia, staż klienta usługi świadczonej przez firmę Symantec czy liczba ataków na przedsiębiorstwo, odnoszą się tylko do danych zebranych od klientów usług Symantec Managed Security Services. 40% Tabela 9. Metody gromadzenia danych używane przez firmę Symantec Definicje ataków W celu wyeliminowania wątpliwości co do znaczenia uzyskanych wyników, poniżej opisano przystępnie metodykę używaną przez firmę Symantec przy identyfikowaniu różnych form ataków. Metodyka ta jest stosowana konsekwentnie we wszystkich fazach monitorowania i analizy. Pierwszym krokiem w analizie ataków jest precyzyjne zdefiniowanie, czym jest atak. Firma Symantec nie ogranicza analizy do tylko jednej miary (wskaźnika), lecz stosuje kilka różnych miar, z których każda jest właściwa w pewnych okolicznościach. Poniżej przedstawiamy ogólne kategorie stosowane w niniejszym Raporcie. Ataki – Ataki są to poszczególne objawy destrukcyjnej działalności w sieci. Na jeden atak może składać się jeden alarm sygnalizowany przez system IDS lub zaporę ogniową, bądź więcej takich alarmów, jeśli wszystkie wskazują na to samo działanie atakującego. Na przykład, wiele zapisów w dzienniku zapory ogniowej często wskazuje na jedną próbę skanowania sieci. Liczba tak rozumianych ataków jest najlepszym wskaźnikiem ogólnej liczby działań podejmowanych przez atakujących i wykrytych w analizowanym okresie. 91 Raport firmy Symantec na temat bezpieczeństwa w Internecie Ataki z wykorzystaniem robaków – Aby umożliwić formułowanie bardziej użytecznych wniosków dotyczących tendencji w metodach atakowania, wyróżniono działania związane z autonomicznym rozprzestrzenianiem się robaków. Bezwzględna weryfikacja źródła pewnych działań jest często niemożliwa, gdyż np. skanowanie sieci przez konia trojańskiego może wyglądać identycznie jak próba rozprzestrzeniania się robaka. Decyzja o tym, czy źródłem danego ruchu w sieci jest robak często opiera się na ustalonym źródle pochodzenia większości ruchu. Zdarzenia – Zdarzenia sygnalizowane przez mechanizmy ochrony są to logiczne grupy złożone z pewnej liczby ataków. Termin „zdarzenie” (event) jest stosowany tylko przez usługę Symantec Managed Security Service. Zdarzenie może obejmować grupę podobnych, ale niestanowiących zagrożenia ataków, skierowanych przeciwko przedsiębiorstwu w danym dniu (na przykład w jedno zdarzenie grupuje się wszystkie, zaobserwowane w sieci przedsiębiorstwa w ciągu dnia, niestanowiące zagrożenia próby skanowania w protokole HTTP). Zdarzenie może także obejmować kilka ataków na tę samą firmę, przeprowadzonych w pewnym okresie przez jednego atakującego. Zdarzenia są generowane tylko przez usługę Symantec Managed Security Service i termin ten jest używany w niniejszym Raporcie tylko w kontekście częstości występowania poważnych zdarzeń. Poziom istotności zdarzeń Poziom istotności zdarzeń dotyczy tylko danych generowanych przez usługę Symantec Managed Security Service. Każde zdarzenie oceniane przez analityków ds. zabezpieczeń z firmy Symantec jest zaliczane do jednego z czterech poziomów istotności: informacyjnego, ostrzegawczego, krytycznego i awaryjnego (tab. 10). Ten system oceny ma na celu głównie określenie priorytetów reakcji klienta na destrukcyjne działania w zależności od względnego zagrożenia, jakie dane zdarzenie stwarza dla środowiska. Poziom istotności jest określany na podstawie cech charakterystycznych ataku, środków ochronnych klienta, wartości zagrożonych zasobów oraz względnej skuteczności ataku. Powyższe cztery poziomy istotności dzielą się ponadto na dwie kategorie: zdarzenia poważne i zdarzenia mniej poważne. Do zdarzeń poważnych zalicza się działania zakwalifikowane jako „Awaryjne” lub „Krytyczne”, natomiast do zdarzeń mniej poważnych zaliczono działania zakwalifikowane jako „Informacyjne” lub „Ostrzegawcze”. Zdarzenie poważne wymaga podjęcia natychmiastowych środków zaradczych, podczas gdy zdarzenie mniej poważne ma charakter głównie informacyjny. 92 Raport firmy Symantec na temat bezpieczeństwa w Internecie Kategoria istotności Zdarzenia mniej poważne Poziom istotności Definicja Informacyjny Zdarzenia polegające na skanowaniu sieci w poszukiwaniu destrukcyjnych usług, a także zdarzenia sygnalizowane przez systemy IDS,bez istotnego wpływu na sieć klienta. Przykład: Skanowanie w poszukiwaniu usług z lukami w zabezpieczeniach, jeśli wszystkie próby połączenia są odrzucane przez zaporę ogniową. Zdarzenia poważne Ostrzegawczy Przykład: Próby skanowania i omiatania horyzontalnego, w przypadku których pewne połączenia zostały dopuszczone, ale nie doszło do złamania zabezpieczeń. Krytyczny Zdarzenia destrukcyjne z natury, wymagające podjęcia przez firmę Symantec lub klienta działań w celu naprawienia luki i niedopuszczenia do faktycznego wykorzystania sieci lub urządzeń klienta. Z definicji, jeśli zdarzenie krytyczne nie zostanie udaremnione przez odpowiednie środki ochrony, może spowodować skuteczne złamanie zabezpieczeń systemu. Przykłady: (1) Ciągłe ataki z jednego adresu IP na sieć klienta bądź wykrycie istotnej luki w zabezpieczeniach sieci klienta przez atakującego lub przez centrum Security Operations Center (SOC) usług zarządzania ochroną firmy Symantec. Np. w Internecie zaobserwowano istnienie skutecznego kodu wykorzystującego tę lukę w zabezpieczeniach, ale nie wykryto późniejszych działań w celu faktycznego wykorzystania tej luki. (2) Wykryto podejrzany ruch niewiadomego pochodzenia, wymagający podjęcia przez klienta dochodzenia w celu wyśledzenia lub wyeliminowania go. Awaryjny Zdarzenia wskazujące, że doszło do złamania zabezpieczeń sieci klienta. Zdarzenie awaryjne wymaga od klienta podjęcia odpowiedniej procedury odtwarzania. Przykład: Skuteczne wykorzystanie luki w zabezpieczeniu serwera WWW. Tabela 10. Klasyfikacja poziomów istotności zdarzeń Zapytania używane w badaniach W niniejszym podrozdziale opisano bardziej szczegółowo specyficzne metody używane do generowania danych i statystyk wykorzystanych w niniejszym Raporcie. Wprawdzie większość metod została odpowiednio wyjaśniona w części niniejszego Raportu poświęconej analizom, jednak przedstawione poniżej badania wymagają dodatkowych wyjaśnień. Dzienna częstość ataków Firma Symantec stosuje wskaźnik dziennej częstości ataków jako metodę zgrubnego oszacowania liczby ataków skierowanych na firmy podłączone do Internetu. Chociaż dzienna liczba ataków w dużym stopniu jest uzależniona od rozmaitych czynników, stanowi wiarygodny wskaźnik tego, czy liczba ataków wzrosła, czy też spadła w porównaniu z poprzednim badanym okresem. W poprzednich wydaniach Raportu na temat bezpieczeństwa w Internecie za podstawę do określenia dziennej częstości ataków przyjęto średnią liczbę ataków wykrytych przez czujniki usług 93 Raport firmy Symantec na temat bezpieczeństwa w Internecie Symantec Managed Security Services i Symantec DeepSight Threat Management System. Liczba ta mogłaby jednak ulec przekłamaniu, gdyby na niewielką liczbę organizacji skierowano nieproporcjonalnie dużą liczbę ataków. Aby nie dopuścić do takiej sytuacji, dla wszystkich objętych analizą czujników danych przyjęto medianę liczby wykrytych przez nie ataków. Takie podejście dokładniej odzwierciedla zmiany częstości ataków, które można zaobserwować w typowej sieci (pod względem wielkości i wdrożonych zabezpieczeń). Najczęstsze ataki internetowe Firma Symantec opracowała ranking najczęstszych ataków obserwowanych w sieci. Jego podstawą są bazy danych utrzymywane przez usługi Symantec DeepSight Threat Management System i Symantec Managed Security Services. W rankingu tym nie rozróżnia się ataków z udziałem i bez udziału robaków, natomiast wskazuje on rozkład ataków, jakich może oczekiwać host podłączony do Internetu. W przypadku, gdy pewne ataki są ściśle związane z robakami, zostało to zaznaczone w tekście. Firma Symantec bada i hierarchizuje ataki na trzy sposoby. Każde z tych podejść zapewnia wgląd w określone pojawiające się tendencje. Ataki można charakteryzować przez określenie: • procentu czujników, które wykryły ataki danego typu; • procentu adresów IP, z których przeprowadzono ataki danego typu; • procentu ogólnej liczby wykrytych ataków, jaki stanowią ataki danego typu. W niniejszym Raporcie przedstawiono procent adresów IP, z których przeprowadzono ataki poszczególnych typów. Najczęściej atakowane porty Dane dotyczące najczęściej atakowanych portów zostały zgromadzone wyłącznie przez usługę Symantec DeepSight Threat Management System. Reprezentują one liczbę poszczególnych prób skanowania, sygnalizowanych przez urządzenia zabezpieczające zainstalowane na obrzeżach sieci na całym świecie. Nie każde skanowanie portu może być uznane za działanie wrogie, ale dane dotyczące portów często sygnalizują szeroko zakrojone próby skanowania w poszukiwaniu usług stanowiących cel ataku. Firma Symantec bada i hierarchizuje atakowane porty na trzy sposoby. Każde z tych podejść zapewnia wgląd w określone pojawiające się tendencje. Ataki na poszczególne porty można charakteryzować przez określenie: • procentu czujników, które wykryły ataki danego typu; • procentu adresów IP, z których przeprowadzono ataki danego typu; • procentu ogólnej liczby wykrytych ataków, jaki stanowią ataki danego typu. W niniejszym Raporcie przedstawiono procent adresów IP, z których przeprowadzono ataki poszczególnych typów. 94 Raport firmy Symantec na temat bezpieczeństwa w Internecie Sieci komputerów zainfekowanych oprogramowaniem typu bot i ataki typu odmowa usługi Firma Symantec rozpoznaje określone wzorce skanowania i obserwowanego ruchu sieciowego oraz kojarzy je z regułami definiującymi specyficzne zachowania charakteryzujące skoordynowane skanowanie. Aby dany komputer został zakwalifikowany jako uczestniczący w skoordynowanym ataku (co wskazuje że jest zainfekowany oprogramowaniem typu bot), musi spełnić warunki określone tymi regułami oraz muszą zostać wykluczone inne powody takiego zachowania. To podejście oparte na obserwacji zachowania nie zapewnia wykrycia wszystkich komputerów zainfekowanych oprogramowaniem typu bot, a ponadto może doprowadzić do zakwalifikowania do tej kategorii innego rodzaju destrukcyjnego kodu powodującego skoordynowane zachowania. Ataki typu odmowa usługi są określane przez analizę ruchu odbitych pakietów (backscatter) powstałego wskutek takich ataków przeprowadzonych z wykorzystaniem sfałszowanych adresów źródłowych. Kraje najczęściej inicjujące ataki Firma Symantec identyfikuje kraje będące źródłem ataków, automatycznie wyszukując źródłowe adresy IP ataków w kilku bazach danych utrzymywanych przez niezależne firmy, a zawierających dane o abonentach. Bazy te umożliwiają powiązanie położenia geograficznego systemów ze źródłowymi adresami IP. Użyte bazy danych są generalnie uznawane za rzetelne, ale dopuszczają pewien, niewielki margines błędu. Obecnie firma Symantec jest w stanie powiązać tą metodą źródłowy adres IP z dowolnym krajem na świecie. Należy podkreślić, że chociaż firma Symantec dysponuje niezawodną metodą identyfikacji źródłowego adresu IP hosta, który jest bezpośrednio odpowiedzialny za przeprowadzenie ataku, to sprawdzenie fizycznej lokalizacji atakującego nie jest możliwe. Prawdopodobnie wiele źródeł ataków stanowią systemy pośrednie, użyte w celu zamaskowania prawdziwej tożsamości i lokalizacji atakującego. Kraje najczęściej inicjujące ataki w stosunku do liczby użytkowników Internetu Liczbę użytkowników Internetu uzyskano z dokumentu World Factbook 2004 opublikowanego przez CIA. Dokument ten zawiera dane dotyczące liczby użytkowników Internetu w poszczególnych krajach. Analiza ataków według branż Dla celów niniejszego Raportu za „ukierunkowanego atakującego” uważa się atakującego, który przeprowadził wykryte ataki na co najmniej trzy przedsiębiorstwa z danej branży, a nie przeprowadził ataków na żadne inne branże. Na rys. 36 przedstawiono procentowy podział badanej próby na poszczególne branże. Ze statystyki wyłączono branże, w których zainstalowano mniej niż 10 czujników. 95 Raport firmy Symantec na temat bezpieczeństwa w Internecie Administracja lokalna i samorządy 1% Media i rozrywka 1% Transport 2% Telekomunikacja 2% Handel detaliczny 2% Organizacje pozarządowe (nonprofit) 2% Oświata 3% Rolnictwo, budownictwo i górnictwo 1% Inne 0% Zaawansowane technologie 26% Małe firmy 3% Administracja państwowa 3% Energetyka 4% Branża nieznana 4% Produkcja 4% Ochrona zdrowia 6% Usługi finansowe 20% Usługi biznesowe 7% Użytkownicy domowi 9% Rys. 36. Aktywność ataków w poszczególnych branżach Źródło: Symantec Corporation Poziom istotności ataków na poszczególne branże Infrastruktura usług Symantec Managed Security Services umożliwia sporządzenie rankingu ataków pod względem ich poziomu istotności. Analitycy firmy Symantec klasyfikują ataki według ich poziomu istotności na podstawie rodzaju przeprowadzonego ataku, podatności ofiary na atak oraz skuteczności ataku. Ataki ukierunkowane na poszczególne branże Częstość ataków ukierunkowanych na daną branżę to wskaźnik określany przez odsetek atakujących wyłącznie firmy i instytucje z danej branży. Pokazuje on, które branże są najczęstszym celem ukierunkowanych ataków. Na jego wartość może wpływać ogólna liczba ataków przeprowadzonych na daną branżę, ale daje on wyobrażenie o skali zainteresowania, jakim dana branża cieszy się wśród ukierunkowanych atakujących. 96 Raport firmy Symantec na temat bezpieczeństwa w Internecie Załącznik C – Metodyka badań tendencji dotyczących luk w zabezpieczeniach W rozdziale „Tendencje dotyczące luk w zabezpieczeniach” Raportu firmy Symantec na temat bezpieczeństwa w Internecie omówiono postępy w zakresie wykrywania i wykorzystywania luk w zabezpieczeniach w ciągu ostatniego półrocza. Niniejszy rozdział poświęcony metodyce opisuje metody gromadzenia danych i ich analizy, która doprowadziła do sformułowania wniosków zaprezentowanych w rozdziale „Tendencje dotyczące luk w zabezpieczeniach”. Firma Symantec utrzymuje jedną z najobszerniejszych na świecie baz danych dotyczących luk w zabezpieczeniach. Baza ta zawiera ponad 9 tys. pozycji. Informacje przedstawione w rozdziale „Tendencje dotyczące luk w zabezpieczeniach” są oparte na analizie tych danych, dokonanej przez badaczy firmy Symantec. Klasyfikacja luk w zabezpieczeniach Po odkryciu i/lub ujawnieniu nowej luki w zabezpieczeniach, analitycy firmy Symantec zbierają jej wszystkie charakterystyki i generują komunikat alarmowy. Komunikat ten opisuje istotne cechy luki, takie jak poziom istotności, łatwość wykorzystania oraz wykaz produktów, w których luka występuje. Cechy te są następnie wykorzystywane (bezpośrednio i pośrednio) podczas analizy. Typy luk w zabezpieczeniach Po odkryciu nowej luki, analitycy zagrożeń w firmie Symantec klasyfikują lukę, zaliczając ją do jednej z 12 kategorii. System klasyfikacji jest oparty na opracowaniu Taimura Aslama i in. (1996)114 definiującym taksonomię luk w zabezpieczeniach. Możliwe kategorie podano poniżej (ww. opracowanie zawiera pełne opisy każdej kategorii): • błąd warunku brzegowego, • błąd kontroli poprawności dostępu, • błąd kontroli poprawności źródła, • błąd kontroli poprawności wejścia, • nieobsłużenie warunku wyjątkowego, • błąd stanu wyścigu, • błąd szeregowania, • błąd atomizacji (niepodzielności) operacji, • błąd środowiska, • błąd konfiguracji, • błąd projektowy. 114 Stosowanie taksonomii luk w zabezpieczeniach” („Use of a Taxonomy of Security Faults”), http://ftp.cerias.purdue.edu/pub/papers/taimur-aslam/aslam-krsulspaf-taxonomy.pdf 97 Raport firmy Symantec na temat bezpieczeństwa w Internecie Poziomy istotności Poziom istotności luki w zabezpieczeniach określa, w jakim stopniu dana luka umożliwia hakerowi dostęp do atakowanego systemu. Miara ta określa również potencjalne skutki efektywnego wykorzystania takiej luki dla poufności, integralności oraz dostępności zainfekowanego systemu. Analitycy firmy Symantec określają poziom istotności każdej nowo odkrytej luki w skali od 1 do 10. Poziom istotności jest określany na podstawie następujących czynników: • Skutki – relatywne skutki dla systemu zawierającego lukę, gdyby została ona wykorzystana. Na przykład jeśli luka umożliwia atakującemu uzyskanie pełnego dostępu do systemu na poziomie administratora, skutki luki są oceniane jako „bardzo poważne”. Im poważniejsze są skutki luki, tym wyższy jest przyznawany jej poziom istotności. • Możliwość zdalnego wykorzystania – czynnik ten określa, czy daną lukę można wykorzystać zdalnie, czy też nie. Lukę uznaje się za możliwą do zdalnego wykorzystania, jeśli można ją wykorzystać przy użyciu choćby jednej metody z miejsca zewnętrznego w stosunku do systemu, najczęściej za pośrednictwem jakiegoś protokołu telekomunikacyjnego, np. TCP/IP, IPX lub dostępu telefonicznego. Lukom uznanym za możliwe do zdalnego wykorzystania przyznaje się wyższy poziom istotności. • Konieczność uwierzytelnienia – czynnik ten określa, czy luka może być wykorzystana jedynie po uwierzytelnieniu się w systemie, w którym występuje, czy też można ją wykorzystać bez jakiegokolwiek uwierzytelnienia. Uznanie luki za możliwą do wykorzystania bez uwierzytelnienia ze strony atakującego powoduje przyznanie jej wyższego poziomu istotności. • Dostępność systemu zawierającego lukę – czynnik ten określa łatwość uzyskania przez atakującego dostępu do systemu w sposób umożliwiający wykorzystanie luki. Niektóre luki mogą być wykorzystane zawsze, o ile atakujący uzyska dostęp do systemu. Inne luki mogą być wykorzystane tylko pod warunkiem wybrania odpowiedniego momentu, interakcji z innymi obiektami lub osobami bądź wystąpienia innych specyficznych okoliczności. Im większa jest dostępność systemu dla atakującego, tym wyższy będzie poziom istotności luki. Po zebraniu informacji na temat powyższych czterech czynników, analitycy używają ustalonego algorytmu, który daje w wyniku ocenę poziomu istotności luki w skali od 1 do 10. Na potrzeby niniejszego Raportu, poziom istotności jest wyrażany w skali „wysoki”, „umiarkowany” i „niski”. Sposób przeliczenia skal przedstawiono w tabeli 3. Dla celów niniejszego Raportu, każdej z luk w zabezpieczeniach przypisano jeden z następujących poziomów istotności: Niski poziom istotności (0-3) – Luki stanowiące niewielkie zagrożenie. Haker nie może wykorzystać luki za pośrednictwem sieci, a ponadto nawet skuteczne wykorzystanie luki nie powoduje kompletnego opanowania informacji przechowywanych lub transmitowanych w systemie. Luki o niskim poziomie istotności obejmują niekrytyczne złamanie poufności (np. ujawnienie konfiguracji systemu) oraz niekrytyczną utratę integralności (np. uszkodzenie lokalnego pliku). Umiarkowany pozom istotności (4-7) – Luki umożliwiające częściowe złamanie zabezpieczeń zaatakowanego systemu, na przykład takie, dzięki którym atakujący uzyskuje wyższe uprawnienia, ale nie uzyskuje kompletnej kontroli nad atakowanym systemem. Do umiarkowanego poziomu istotności zaliczane są luki, których skutki wykorzystania są poważne, ale których możliwość wykorzystania przez hakera jest 98 Raport firmy Symantec na temat bezpieczeństwa w Internecie ograniczona. Są to np. luki, których wykorzystanie wymaga lokalnego dostępu do systemu bądź uprzedniego uwierzytelnienia w systemie. Wysoki poziom istotności (8-10) – Luki w zabezpieczeniach, których wykorzystanie prowadzi do całkowitego opanowania systemu. W prawie wszystkich przypadkach skuteczne ich wykorzystanie może spowodować kompletną utratę poufności, integralności i dostępności danych przechowywanych lub transmitowanych w takim systemie. Luki o wysokim poziomie istotności umożliwiają hakerom dostęp za pośrednictwem sieci bez uwierzytelniania. Poziom istotności Wysoki Umiarkowany Niski Zakres oceny istotności X≥7 4 ≤ X< 7 x<4 Tabela 11. Wyznaczanie poziomu istotności Źródło: Symantec Corporation Łatwość wykorzystania Wskaźnik łatwości wykorzystania określa, ile wysiłku wymaga posłużenie się daną luką w zabezpieczeniach. Analityk ocenia łatwość wykorzystania po starannym zbadaniu, czy w celu posłużenia się tą luką jest potrzebny specjalny kod i czy kod taki jest dostępny. Każda luka jest zaliczana do jednej z trzech podanych poniżej kategorii. • Kod do wykorzystania luki jest dostępny – zaawansowany kod umożliwiający wykorzystanie luki jest publicznie dostępny dla wszystkich potencjalnych atakujących. • Kod do wykorzystania luki nie jest potrzebny – potencjalni atakujący mogą wykorzystać lukę bez użycia zaawansowanego kodu. Innymi słowy, aby wykorzystać lukę, atakujący nie musi tworzyć ani używać skomplikowanych skryptów czy narzędzi. • Kod do wykorzystania luki -nie jest dostępny – do ewentualnego wykorzystania luki potencjalny atakujący musiałby użyć specjalnego kodu, ale kod taki nie jest dostępny publicznie. Na potrzeby niniejszego Raportu, luki z dwóch pierwszych kategorii są uznawane za „łatwe do wykorzystania”, ponieważ atakujący może je wykorzystać nie dysponując zaawansowanymi kwalifikacjami. Luki ostatniej kategorii są uznawane za „trudne do wykorzystania”, ponieważ aby je wykorzystać, atakujący musi opracować własny kod. 115 Chodzi o luki w zabezpieczeniach umożliwiające uszkodzenie pamięci. Kategoria ta obejmuje wykorzystanie błędów przepełnienia bufora, błędów obsługi nadmiaru stałopozycyjnego, błędów związanych z ciągami formatującymi oraz innych luk prowadzących do zniszczenia zawartości pamięci systemu. 99 Raport firmy Symantec na temat bezpieczeństwa w Internecie Czas opracowywania kodu wykorzystującego luki w zabezpieczeniach Możliwość pomiaru czasu opracowywania kodu wykorzystującego luki w zabezpieczeniach jest ograniczona oraz ma zastosowanie tylko w przypadku luk w zabezpieczeniach, których wykorzystanie normalnie wymaga takiego kodu. Z tych względów miara ta dotyczy sytuacji, gdy: • istnieje luka w zabezpieczeniach, którą firma Symantec uznaje za dostatecznie złożoną115, ale do której nie było kodu umożliwiającego jej wykorzystanie dopóki ktoś go nie opracował; z wyłączeniem jednak następujących sytuacji: • wykorzystanie luki w zabezpieczeniach nie wymaga specjalnego kodu; • kod wykorzystujący lukę w zabezpieczeniach został opublikowany przez osobę, która wykryła tę lukę; • do luki w zabezpieczeniach istnieje kod o charakterze teoretycznego dowodu poprawności koncepcji (proof of concept), który w praktyce nie funkcjonuje. Jako datę ujawnienia luki w zabezpieczeniach przyjmuje się datę pierwszej odnalezionej wzmianki na jej temat (np. w wiadomości na grupie dyskusyjnej). Jako datę publikacji kodu umożliwiającego jej wykorzystanie przyjmuje się datę pierwszej odnalezionej wzmianki o takim kodzie. Czas upływający pomiędzy ujawnieniem luki w zabezpieczeniach a pojawieniem się kodu umożliwiającego jej wykorzystanie jest wyznaczany na podstawie tych dat, po czym obliczana jest średnia tego czasu dla każdego miesiąca. Porównanie luk w zabezpieczeniach przeglądarek Powszechnie znane są trudności z dokładnym wykryciem i zidentyfikowaniem luk w zabezpieczeniach poszczególnych przeglądarek. Zgłoszony atak może być wykonalny tylko dzięki zbiegowi kilku różnych okoliczności, z których każda może być uznana za oddzielną lukę w zabezpieczeniach. Taka sytuacja może zniekształcić łączną liczbę wykrytych luk. Podczas interpretacji danych należy mieć na uwadze następujące zastrzeżenia: Ze względu na trudności z porównywaniem dających się zweryfikować, potwierdzonych i niepowtarzalnych luk w zabezpieczeniach, w analizie uwzględniamy tylko luki potwierdzone przez producenta oprogramowania. Powszechnie znane są trudności z dokładnym wykryciem i zidentyfikowaniem luk w zabezpieczeniach poszczególnych przeglądarek. Zgłoszony atak może być wykonalny tylko dzięki zbiegowi kilku różnych okoliczności, z których każda może być uznana oddzielną lukę w zabezpieczeniach. Taka sytuacja może zniekształcić łączną liczbę wykrytych luk. Nie każda wykryta luka w zabezpieczeniach jest wykorzystywana. W chwili opracowywania niniejszego raportu nie był znany żaden przypadek masowego wykorzystania luki w zabezpieczeniach jakiejkolwiek przeglądarki poza przeglądarką Microsoft Internet Explorer. Należy przypuszczać, że sytuacja ta ulegnie zmianie, gdy wzrośnie popularność innych przeglądarek. Firefox jest stosunkowo nową przeglądarką i z tego względu nie występuje w analizach danych za wcześniejsze badane okresy. 100 Raport firmy Symantec na temat bezpieczeństwa w Internecie Załącznik D – Metodyka badań tendencji dotyczących destrukcyjnego kodu Tendencje dotyczące destrukcyjnego kodu zostały określone na podstawie wyników analizy statystycznej próbek destrukcyjnego kodu, przekazywanych do firmy Symantec. Firma Symantec gromadzi dane z ponad 120 mln systemów – klientów, serwerów i bram – na których wdrożone są produkty antywirusowe firmy Symantec. Systemy te znajdują się zarówno w środowiskach użytkowników indywidualnych, jak i przedsiębiorstw. Technologie Symantec Digital Immune System oraz Scan and Deliver umożliwiają użytkownikom zautomatyzowanie procesu zgłaszania zagrożeń. Obserwacje zawarte w rozdziale „Tendencje dotyczące destrukcyjnego kodu” są oparte na danych empirycznych i analizach ekspertów. Dane pochodzą głównie z dwóch opisanych poniżej baz danych. Również analizy są oparte głównie na danych z tych baz. Baza danych o infekcjach Aby ułatwić wykrywanie i usuwanie wirusów komputerowych, firma Symantec opracowała technologię Symantec AntiVirus Research Automation (SARA). Firma Symantec używa jej do analizowania, powielania i definiowania dużego podzbioru najczęściej spotykanych wirusów komputerowych, poddawanych kwarantannie przez klientów korzystających z oprogramowania Symantec AntiVirus. SARA odbiera średnio setki tysięcy podejrzanych plików dziennie od klientów instytucjonalnych i indywidualnych z całego świata. Firma Symantec analizuje podejrzane pliki, dopasowując je do definicji wirusów. Analiza tego zbioru danych pozwala uzyskać statystyki dotyczące udziału różnych typów destrukcyjnego kodu w ogólnej liczbie infekcji. Baza danych o destrukcyjnym kodzie Oprócz danych dotyczących infekcji, ośrodek Symantec Security Response analizuje i dokumentuje atrybuty każdej nowej formy destrukcyjnego kodu, jaka pojawia się w otwartej sieci lub w tzw. „zoo” (kontrolowanym środowisku laboratoryjnym). Opisy nowych form destrukcyjnego kodu są wprowadzane do bazy danych w celu ich późniejszego wykorzystania. Na potrzeby niniejszego Raportu, przeprowadzono również na tej bazie danych analizę tendencji historycznych. Pozwoliła ona ujawnić np. tendencje użycia różnych dróg infekcji czy częstości występowania różnych rodzajów destrukcyjnego kodu. W niektórych przypadkach produkty antywirusowe firmy Symantec mogą wstępnie wykryć nowy destrukcyjny kod metodą heurystyczną bądź za pomocą sygnatur ogólnych. Taki kod może być potem sklasyfikowany ponownie i wykryty jako inny specyficzny przypadek. Z tego względu mogą występować niewielkie rozbieżności pomiędzy niektórymi wynikami analiz w poprzedniej i w obecnej edycji Raportu firmy Symantec na temat bezpieczeństwa w Internecie. 101 Raport firmy Symantec na temat bezpieczeństwa w Internecie Załącznik E – Metodyka badań dodatkowych zagrożeń dla bezpieczeństwa Produkty firmy Symantec pozwalają użytkownikom nie tylko chronić dane przed zagrożeniami ze strony wirusów, robaków i koni trojańskich, lecz także oceniać potencjalne zagrożenia dla bezpieczeństwa spowodowane innymi programami. Oprogramowanie Symantec AntiVirus zalicza takie inne programy do kategorii dodatkowych zagrożeń dla bezpieczeństwa. Obejmują one programy, które na podstawie kryteriów funkcjonalnych można podzielić na oprogramowanie typu adware i programy szpiegujące. Firma Symantec klasyfikuje je na podstawie szeregu cech charakterystycznych. Po sklasyfikowaniu, programy takie mogą być wykrywane, a użytkownicy uzyskują możliwość ich zachowania lub usunięcia w zależności od osobistych potrzeb i stosowanych zasad bezpieczeństwa. Ogólne kryteria dodatkowych zagrożeń dla bezpieczeństwa Program zaliczany do kategorii dodatkowych zagrożeń dla bezpieczeństwa jest to aplikacja lub kod wykonywalny, który działa niezależnie bądź współdziała z innym oprogramowaniem oraz spełnia następujące kryteria: 1) ze swojej natury nie jest wirusem; 2) zaprogramowana w nim funkcjonalność spełnia kryteria kwalifikujące go jako potencjalne zagrożenie dla bezpieczeństwa; 3) został dostarczony do firmy Symantec w celu rozpoznania przez znaczną liczbę użytkowników korporacyjnych lub indywidualnych w danym okresie (okres i liczba użytkowników mogą być różne w zależności od kategorii bądź ryzyka). Firma Symantec dodatkowo klasyfikuje programy na podstawie kryteriów funkcjonalnych związanych ze skutkami wprowadzenia danego programu do systemu. Kryteria te obejmują skrytość, zagrożenie dla prywatności, ograniczenie wydajności, potencjalne szkody i możliwości usunięcia. Tendencje przedstawione w rozdziale „Dodatkowe zagrożenia dla bezpieczeństwa” są oparte na prowadzonych przez firmę Symantec badaniach, zgłoszeniach klientów oraz danych zebranych z ponad 120 mln systemów (komputerów-klientów, serwerów i bram), w których są wdrożone produkty firmy Symantec116, jak również na analizie filtracyjnej 25 mln wiadomości e-mail otrzymywanych codziennie przez sieć Symantec Probe Network. Firma Symantec analizuje najczęściej występujące doniesienia oraz ustala, które z nich rzeczywiście dotyczą oprogramowania typu adware i szpiegowskiego, a nie destrukcyjnego kodu. W niniejszej dyskusji omówiono oprogramowanie typu adware i szpiegowskie na podstawie pewnych próbek, tj. indywidualnych przykładów takich programów. Jednak w niektórych przypadkach dana próbka może występować w kilku wariantach. Wariant jest to nowa wersja należąca do tej samej rodziny, wykazująca małe różnice, ale oparta na wersji oryginalnej. Dla celów niniejszego raportu wszystkie warianty danej próbki są traktowane jako jedna próbka. 116 102 Systemy, na których zainstalowane są rozwiązania antywirusowe firmy Symantec. Raport firmy Symantec na temat bezpieczeństwa w Internecie Metodyka badań phishingu Przedstawione w niniejszym Raporcie tendencje dotyczące ataków typu phishing są oparte na analizie danych pochodzących z sieci Symantec Probe Network. Dane zebrane przez rozwiązanie Symantec Brightmail AntiSpam są wykorzystywane do oceny wzrostu liczby prób phishingu oraz wyznaczenia odsetka poczty internetowej uznanej za takie próby. Obejmują one statystyki przekazywane z systemów klientów i zawierające informacje dotyczące zachowania filtrów przeciwdziałających oszustwom oraz informacje o ogólnej ilości przetworzonej poczty elektronicznej. Definicja ataku Dane pochodzące z sieci Symantec Probe Network są używane do monitorowania wzrostu liczby nowych ataków. Atak defraudacyjny jest to grupa wiadomości e-mail o zbliżonej treści, wysyłanych do poszczególnych osób. Wiadomości te mają na celu wyłudzenie poufnych lub osobistych informacji od użytkowników usług online. Dane zbierane w terenie przez produkt Symantec Brightmail AntiSpam służą do rozpoznawania ogólnych tendencji w zakresie wiadomości e-mail o charakterze phishingu. Poniższa tabela przedstawia ogólną charakterystykę metod stosowanych przez każdą z wymienionych usług. Źródło danych Metodyka gromadzenia danych Symantec Probe Network Symantec Probe Network działa ponad 2 mln sond o statystycznym zasięgu ponad 250 mln skrzynek pocztowych. Sieć ta zawiera wielką liczbę adresów e-mail (zarówno dawnych adresów rzeczywistych użytkowników, jak i kont stworzonych specjalnie do tego celu), które przyciągają „śmieciowe” wiadomości. W sieci Symantec Probe Network uczestniczy ponad 600 przedsiębiorstw i operatorów Internetu. Obejmuje ona swoim zasięgiem kraje obu Ameryk, Europy, Azji i Australii. Symantec Brightmail AntiSpam – dane zbierane w terenie Oprogramowanie Symantec Brightmail AntiSpam przekazuje dane statystyczne do centrum BLOC (Brightmail Logistics and Operations Center). Dane te dotyczą przetworzonych wiadomości, wiadomości odfiltrowanych oraz danych specyficznych dla poszczególnych filtrów. Firma Symantec klasyfikuje różne filtry w taki sposób, by statystyki dotyczące spamu i statystyki dotyczące phishingu mogły być wyznaczane oddzielnie. Tabela 12. Metody gromadzenia danych dotyczących phishingu Źródło: Symantec Corporation Objaśnienie zapytań używanych w badaniach W niniejszym podrozdziale opisano dokładniej specyficzne metodyki uzyskiwania danych i statystyk przedstawionych w niniejszym Raporcie. Chociaż metodyki te są w większości dostatecznie dobrze objaśnione w części niniejszego Raportu poświęconej analizom, następujące badania wymagają bardziej szczegółowego wyjaśnienia. 103 Raport firmy Symantec na temat bezpieczeństwa w Internecie Wzrost częstotliwości phishingu Firma Symantec utrzymuje automatyczne systemy, które rozpoznają nowe potencjalne ataki defraudacyjne odbierane przez sieć Symantec Probe Network. Wiadomości są grupowane w ataki na podstawie podobieństwa treści i nagłówków. Próbki wiadomości są następnie przetwarzane przez ogólny heurystyczny mechanizm wykrywania oszustw, którego celem jest rozpoznawanie wiadomości stanowiących potencjalne zagrożenie oszustwem. Centrum BLOC bada rozpoznane ataki w celu ich potwierdzenia i opracowania odpowiednich filtrów. Dział inteligentnej analizy danych (Symantec Brightmail Business Intelligence) bada ataki o charakterze phishingu w celu opracowania filtrów predykcyjnych (Symantec Brightmail AntiSpam Heuristics). Dane przedstawione w tym podrozdziale są oparte na łącznej liczbie nowych ataków typu phishing (uznanych przez centrum BLOC) tygodniowo. BLOC zajmuje się tylko tymi atakami, które nie są blokowane przez istniejące filtry antyspamowe i filtry przeciwdziałające oszustwom. Przez „istniejące filtry” rozumie się filtry antyspamowe i filtry przeciwdziałające oszustwom używane przez klientów rozwiązania Symantec Brightmail AntiSpam. Niektóre wiadomości o charakterze oszustwa są przechwytywane przez filtry predykcyjne (heurystyczne), jednak nie wszyscy klienci firmy Symantec używają tej technologii bądź uaktualnili produkt do wersji obsługującej ją. Dlatego wiadomości w dalszym ciągu są badane przez centrum BLOC, które opracowuje filtry przeznaczone do szerszego wdrożenia. Spam Opisane w niniejszym Raporcie tendencje dotyczące spamu są oparte na analizie danych pochodzących z sieci Symantec Probe Network. Ocena wzrostu ilości spamu opiera się na danych zebranych w terenie przez rozwiązanie Symantec Brightmail AntiSpam. Dane te obejmują statystyki przekazywane z instalacji u klientów, dotyczące skuteczności filtrów antyspamowych oraz ogólnej ilości przetwarzanej poczty elektronicznej. Próba klientów objętych badaniem Ze względu na liczne zmienne czynniki wpływające na działania podejmowane przez przedsiębiorstwa w związku ze spamem, dla celów rozpoznawania spamu i formułowania prognoz jego wzrostu firma Symantec dzieli problemy tego rodzaju na kategorie w zależności od poziomu istotności problemu spamu dla danego przedsiębiorstwa. Próba statystyczna klientów liczy 20 przedsiębiorstw i została wybrana spośród przedsiębiorstw, w których ilość spamu w lipcu badanego okresu przekroczyła 75% całkowitej ilości poczty elektronicznej. Wybrane przedsiębiorstwa otrzymały również w tym miesiącu najwięcej poczty elektronicznej ogółem. Prezentowane dane stanowią sumaryczne liczby wiadomości w poszczególnych tygodniach sześciomiesięcznego okresu badanego, agregowane dla wszystkich 20 przedsiębiorstw z próby. Poniższa tabela przedstawia ogólną charakterystykę metod stosowanych przez każdą z wymienionych usług. 104 Raport firmy Symantec na temat bezpieczeństwa w Internecie Źródło danych Metodyka gromadzenia danych Symantec Probe Network Symantec Probe Network działa ponad 2 mln sond o statystycznym zasięgu ponad 250 mln skrzynek pocztowych. Sieć ta zawiera wielką liczbę adresów e-mail (zarówno dawnych adresów rzeczywistych użytkowników, jak i kont stworzonych specjalnie do tego celu), które przyciągają „śmieciowe” wiadomości. W sieci Symantec Probe Network uczestniczy ponad 600 przedsiębiorstw i operatorów Internetu. Obejmuje ona swoim zasięgiem kraje obu Ameryk, Europy, Azji i Australii. Symantec Brightmail Antispam – dane zebrane w terenie Oprogramowanie Symantec Brightmail AntiSpam przekazuje dane statystyczne do centrum BLOC. Dane te dotyczą przetworzonych wiadomości, wiadomości odfiltrowanych oraz danych specyficznych dla poszczególnych filtrów. Firma Symantec klasyfikuje różne filtry w taki sposób, by statystyki dotyczące spamu i statystyki dotyczące phishingu mogły być wyznaczane oddzielnie. Tabela 13. Metody gromadzenia danych dotyczących spamu Źródło: Symantec Corporation 105 WYŁĄCZENIE GWARANCJI. Informacje techniczne zawarte w niniejszym dokumencie są dostarczane w takim stanie, w jakim się znajdują („as is”) i Symantec Corporation nie udziela żadnej gwarancji dotyczącej ich dokładności czy przydatności. Jakiekolwiek użycie dokumentacji technicznej bądź informacji zawartych w niniejszym dokumencie odbywa się na ryzyko użytkownika. Dokumentacja może zawierać niedokładności techniczne i inne, jak również błędy typograficzne. Symantec zastrzega sobie prawo wprowadzania zmian bez wcześniejszego powiadomienia. Symantec, logo Symantec, Brightmail i DeepSight są zastrzeżonymi znakami towarowymi firmy Symantec Corporation w Stanach Zjednoczonych. Brightmail AntiSpam, BugTraq, Digital Immune System, Symantec AntiVirus, Symantec AntiVirus Research Automation (SARA), Symantec Managed Security Services i Symantec Security Response są znakami towarowymi firmy Symantec Corporation. Microsoft, Windows i Windows NT są zastrzeżonymi znakami towarowymi firmy Microsoft Corporation. Macintosh, Mac i Mac OS są zastrzeżonymi znakami towarowymi firmy Apple Computer Inc. Linux jest zastrzeżonym znakiem towarowym Linusa Torvaldsa. Pozostałe nazwy marek i produktów są znakami towarowymi odpowiednich podmiotów. Copyright © 2005 Symantec Corporation. Wszelkie prawa zastrzeżone. Wszystkie informacje techniczne udostępniane przez Symantec Corporation są dziełem firmy Symantec Corporation chronionym prawem autorskim i są własnością firmy Symantec Corporation. Informacje o firmie Symantec Firma Symantec jest światowym liderem w dziedzinie bezpieczeństwa informacji, dostarczającym szeroką gamę oprogramowania, urządzeń i usług zaprojektowanych w celu pomocy użytkownikom indywidualnym, małym i średnim firmom oraz dużym przedsiębiorstwom w zabezpieczaniu ich infrastruktury informatycznej oraz zarządzaniu nią. Należąca do firmy Symantec marka Norton jest światowym liderem w zakresie zabezpieczeń i produktów do rozwiązywania problemów przeznaczonych dla klientów indywidualnych. Firma Symantec, z siedzibą w Cupertino (Kalifornia), ma swoje oddziały w ponad 35 krajach. Więcej informacji można znaleźć pod adresem www.symantec.pl. Adresy i numery kontaktowe poszczególnych oddziałów krajowych można znaleźć w naszym serwisie internetowym. Informacje o produktach można uzyskać kontaktując się z polskim biurem firmy Symantec lub jednym z autoryzowanych sprzedawców. 20330 Stevens Creek Blvd. Cupertino, CA 95014 U.S.A. 1 408 517 8000 1 800 721 3934 www.symantec.com Biuro w Polsce: al. Jana Pawła II 29 00-867 Warszawa, Polska tel. (22) 586 92 00 faks (22) 654 69 69 Copyright © 2005 Symantec Corporation. Wszelkie prawa zastrzeżone. Wszystkie informacje techniczne udostępniane przez Symantec Corporation są dziełem firmy Symantec Corporation chronionym prawem autorskim i są własnością firmy Symantec Corporation.