Érdekességek
MaxRay - 2008-02-08
A Cisco és az IronPort kutatásai az újfajta, összetett veszélyekre hívják fel a figyelmetâ?¦
Miközben az iparágban megszokott év végi jelentések gyakran a tartalombiztonságot veszélyeztető kockázatokra összpontosítanak (vírusok, férgek, trójaik, spam, adathalászat), a Cisco összeállítása túlmutat ezeken, és összesen hét kockázatkezelési kategóriát vizsgál. E hét kategória a következő: sebezhetőség, fizikai biztonság, jogi biztonság, bizalom, azonosítás, humán tényezők és geopolitikai biztonság.
A jelentés megállapításai is alátámasztják azt a tényt, hogy a biztonsági veszélyek egyre globálisabbá és kifinomultabbá válnak. Ahogy terjednek az
IP
-kapcsolattal rendelkező készülékek, alkalmazások és kommunikációs lehetőségek, a támadások lehetősége is kibővül. Ezek a trendek új fejezetet nyitnak a biztonsági kockázatok és támadási taktikák történetében.
Régebben a vírusok és férgek (Code Red, Nimda stb.) azért támadták meg a számítógépeket, hogy pusztán kárt okozzanak és nevüket világszerte megismerjék. Az internethasználat és az elektronikus kereskedelem terjedésével kialakultak az összetett technikát alkalmazó fenyegetések (spamhez kapcsolódó adathalászat, botnetek stb.), amelyek célja már az anyagi haszonszerzés és a személyes adatok begyüjtése. Ez a fajta „álruhás rablás” fokozatosan nemzetközi jelenséggé vált.
John Stewart, a Cisco biztonsági területért felelős vezetője szerint az információbiztonság ma már nemcsak egy-egy csatát jelent egy vírus vagy spamtámadás ellen. Gyakran merülnek fel jogi, azonosítási vagy geopolitikai kérdések is. Példaként a nagy kereskedőláncoknál bekövetkezett azonosító lopást emelte ki, valamint az Észtország ellen a múlt tavasszal, állítólag orosz hackerek által, politikai motivációból elkövetett szolgáltatás-túlterheléses támadásokat. Ez utóbbi számos észt kormányzati weblapot tett müködésképtelenné; a hírek szerint a támadást az észt kormány egy szovjet emlékmü áthelyezését elrendelő döntése váltotta ki.
„A kiberbünözés a szemünk láttára alakul át; gyakran olyan – egyébként jól ismert – technikák segítségével, amelyekkel korábban csak elektronikus formában találkoztunk” – mondta Stewart. „Nem szabad az információbiztonságot kockáztató veszélyeket egy-egy izolált adathalászati vagy vírustámadásként felfogni – a mai veszélyek ennél komolyabbak, és többek között a felhasználók bizalmára is építenek a »social engineering» (a felhasználók gyengeségeit kihasználó támadás) eszközeivel. Ahhoz, hogy napjainkban gondoskodjunk egy vállalkozás, a személyes adatok vagy egy ország biztonságáról, szorosabb összefogásra van szükség olyan felek között is, amelyek korábban nem feltétlenül müködtek együtt. Informatikai biztonsági csapatok, vállalatok, kormányzatok, rendfenntartó szervek, fogyasztók, állampolgárok: valamennyien célpontok és egyben szövetségesek. Egy ország, vállalkozás vagy egyén biztonsága azon fog múlni, hogy ezek a csoportok képesek-e együttmüködni és kommunikálni.”
Ironport: Vége a bemelegítésnek
„2007 fordulópont volt. Már éppen úgy tünt, hogy a rosszindulatú programok megjelenési formái végre konszolidálódnak, amikor olyan új, bonyolult támadási technikák jelentek meg, amelyek egyértelmüen professzionális programozók munkájára vallottak – a kifejlesztésük ugyanis hosszú kutatást és fejlesztési folyamatot igényelhetett” – mondta Tom Gillis, az IronPort alelnöke. „Sokáig úgy tünt, a kártevők kezelésére kidolgozott biztonsági megoldások jól müködnek. Azonban éppen a hatékony védekezési formákra adott válaszként kezdtek ismét erőre kapni a fenyegetések. A 2007-es évben az addig ismert fenyegetések jelentős változásokon mentek keresztül. A rosszindulatú programok lopakodó üzemmódra kapcsoltak, és a korábbinál kifinomultabbá váltak.”
Az információ a világ új fizetőeszköze
A kéretlen levelek, a vírusok és a rosszindulatú programok támadásai jelentős költségekkel járnak. Egy átlagos felhasználónak napi öt-tíz percet kell a spam-áradat kezelésére szánnia. Komolyabb esetben egy személyi számítógép rendbetétele 500 dollárra is rúghat. Az adatvesztés azonban ennél jóval nagyobb kárt is okozhat. Legyen szó akár rosszindulatú támadásról, akár véletlen hibáról, az adatvesztés egy vállalat számára presztízsveszteséget jelent. Ma az üzleti világban az elektronikus kommunikáció és az adatmozgások adják a legfőbb támadási felületet. A jelenleg használt tüzfal-, illetve egyéb hálózati biztonsági megoldások nem terjednek ki a mozgásban lévő adatok biztonságának megóvására. Hiányoznak az olyan kritikus kontrollok, mint amilyen a tartalomszürés és az érzékeny adatokat tartalmazó üzenetek blokkolása, titkosítása. Becslések szerint mintegy 60 millió ember személyes adatait hozták nyilvánosságra az elmúlt 13 hónap során; a kármentés, valamint a kiesett munkaórák összértéke körülbelül 20 milliárd USA-dollár. A vállalati adatok akár 60%-át védelem nélküli személyi számítógépeken és hordozható számítógépeken tárolják. Továbbá a vállalatok 48%-a nem dolgozott ki eljárást arra az esetre, ha az ügyfelek adatai valami miatt kompromittálódnak.
Merre tovább? Jön a szociális kártevő
A rosszindulatú programok modern változata a különböző
web
2.0-ás közösségi oldalak mintájára épül. Napjaink kártevői (mint például a „Storm” elnevezésü trójai) kollaboratív, adaptív,
peer-to-peer
(p2p) technikára építenek, és ráadásul intelligensek. A szenzorok számára nem észlelhető módon közlekednek – vállalatok vagy magánszemélyek számítógépein élnek észrevétlenül hónapokig vagy akár évekig. A trójaiak és egyéb kártevők új változatai egyre célratörőbbek és egyre rövidebb élettartamúak lesznek. Ezért észlelésük is nehezebb. Már nem érvényes a régi hozzáállás, amely szerint „amit nem látok, az nem is árthat”. A nagyvállalatokra mind nagyobb nyomás nehezedik, hogy megfelelően gondoskodjanak érzékeny adataik biztonságáról – akár hitelkártyaszámokról, vállalati bevételekről vagy éppen új termékek terveiről legyen szó. A kártevők programozói kifinomult p2p-hálózatokat alakítanak ki éppen az ilyen adatok begyüjtésére; utolérni és megakadályozni őket pedig egyre nehezebb. Az informatikusoknak gondoskodniuk kell a rosszindulatú forgalom méréséről saját hálózatukon, és olyan komplex biztonsági rendszert kell felépíteniük, amely például hálózatalapú kockázatészlelési és hálózati hozzáférést szabályozó elemeket is tartalmaz.
További megállapítások és statisztikák
A kéretlen levelek és a rosszindulatú programok fejlődésének általános trendjei egyre nagyobb és egyre pontosabban célzott, álcázott és összetett támadások irányába mutatnak. A jelentés többek között a következő konkrét megállapításokkal szolgál:
·[%TAB%]A spamek mennyisége 100%-kal nőtt, ma már naponta több mint 120 milliárd spamjellegü üzenetet küldenek el. Ez naponta körülbelül 20 kéretlen levelet jelent a bolygó valamennyi lakosa számára. Az IronPort felmérései szerint a vállalati felhasználók 100-1000 darab spamüzenetet kapnak naponta.
· [%TAB%]Napjainkban a kéretlen levelek kisebb hányada tartalmaz csak konkrét reklámot, és inkább a spamhálózat növelését szolgálják. A spamtámadások korábban leginkább egy-egy termék reklámozására szorítkoztak (pl. gyógyszerek, alacsony kamatozású jelzáloghitelek stb.). Ma már a kéretlen levelek egyre nagyobb számban tartalmaznak kártevőt terjesztő oldalakra mutató hiperhivatkozásokat. E rosszindulatú programoknak gyakran az a céljuk, hogy tovább növeljék a spamet eredetező botnet méretét és kiterjedését. 2007-ben az IronPort operációs központja 253%-os emelkedést tapasztalt a „dirty spam” üzenetek számában, ennyivel nőtt tehát a rosszindulatú oldalakra mutató linkeket tartalmazó üzenetek mennyisége. Ez további bizonyíték arra nézve, hogy e programok készítői e-mailes és webes technikák összekapcsolásával próbálják terjesztetni a veszélyeket.
·
A vírusok ma kevésbé láthatóak, számuk azonban növekszik. A vírusok programozói eltávolodtak a korábbi tömeges disztribúcióra építő támadásoktól, mint amilyet pl. a Netsky vagy a Bagel vírus esetében tapasztaltunk. 2007-ben a vírusok számos formát öltöttek, és gyakran nagyon összetett botnetek elterjedéséhez társultak, mint amilyen pl. a Feebs vagy a Storm volt. Az IronPort operációs központja egyetlen hét leforgása alatt a Feebs nevü vírus több mint hat variánsát észlelte – valamennyi változat hatványozott terjeszkedésbe kezdett, még mielőtt a központ leképezhette volna.
·
Egy-egy támadási technika élettartama látványosan csökkent. Korábban a
spam
terjesztői hónapokon át alkalmaztak egy-egy technikát (például a beágyazott kép használatát). Az újabb módszerek, mint például az
MP3
-spam, csupán napokig élnek. Számuk azonban növekszik. Míg 2006-ban a képek alkalmazása jelentette a legnagyobb újítást a kéretlen levelek terén, 2007-ben több mint 20 fájlfajtával találkozhattunk a mellékletekben, rövidebb támadások keretében.