Fejenként nyolc év börtönt kapott három hacker októberben egy orosz bíróságtól. A trió az ügyészek szerint 54 támadást hajtott végre 30, különböző országokban fellelhető szerver ellen. Fő célpontjaik a brit online fogadási irodák voltak: ezek rendszereit megbénították, majd pénzt követeltek a hasonló „baleseteket” elkerülendő. A bukmékereknek a kiesések komoly anyagi veszteséget jelentettek, fizettek is. A bűnözők több mint 2 millió fontot gyűjtöttek be, mielőtt őket begyűjtötték volna a Scotland Yard és az orosz hatóságok közös akciója nyomán.
A számítógépes bűnözés jól szervezett iparággá alakult – erősítette meg a Figyelő Trendnek az összes megkérdezett IT-biztonsági szakértő. Erre utal az is, hogy nincsenek jól látható, rengeteg gépet megfertőző víruskitörések. Megnőtt viszont a célzott támadások aránya. „Van például olyan kártévő, amit csak 50 e-mail címre küldtek el – persze olyanoknak, akik ugyanannál a célpontnak kiszemelt vállalatnál dolgoztak” – hoz példát Fórján Tamás, a 2F 2000 Kft. műszaki igazgatója. „Találkoztunk már olyan féreggel is, amelynél a programírók szándékosan lassították a kártékony szoftver terjedését” – meséli Gombás László, a Symantec magyarországi képviseletének rendszermérnöke. A „szerzők” célja ugyanis az volt, hogy minél később fedezzék fel a férget, így a megfertőzött gépeken addig is nyugodtan garázdálkodhattak.
Januárban múlt egyébként, hogy 20. éve léteznek PC-s vírusok: 1986-ban jelent meg az első, egyébként ártalmatlan, Brain névre hallgató vírus. Unatkozó főiskolások helyett ma már fizetett programozók készítik a rosszindulatú programokat. „Jórészt Oroszországban működnek ilyen csoportok, az ottani törvényi szabályozás hiányosságait használják ki” – mondja Fórján Tamás. „Ezek a programozók szoftverfejlesztés bevált módszereit (specifikáció, tesztelés, frissítés) alkalmazva írnak magas színvonalú kódokat” – avat be a bűnözők módszereibe Mikko Hyppönen, az F-Secure vezető kutatója.
ÚJ TÁMADÁSTÍPUSOK. A kártevő szoftverekben megjelenő új ötletek, technológiák elsősorban a felderítést próbálják megakadályozni. A múlt év végén a Sony másolásvédelmi rendszere kapcsán kipattant botrány irányította a figyelmet az úgynevezett rootkit technológiára. Ez a másolásvédelem ugyanis olyan programot telepített a gyanútlan felhasználók gépére, amely „eltüntette” magát a rendszer elől: nem lehetett látni az általa telepített fájlokat, az általa futtatott folyamatokat. A vírusírók is egyre inkább alkalmazzák ezt, a kártevő felderítését megnehezítő technikát.
Egy ilyen trójai program az online pókerjátékosokat célozta meg. Az egyik szerencsejátékokra szakosodott weboldalról esélyeket számító szoftvert lehetett letölteni: az viszont a telepítés során négy futtatható programot rejtett el rootkit technológiával a gyanútlan áldozatok gépén. A hackerek ezután már hozzá tudtak férni a felhasználó internetes pókeroldalakra szóló jelszavaihoz. A jelszavak ismeretében pedig megszerezhették az áldozatok pénzét.
A kártékony szoftverek íróinak másik jelentősebb „újítása” a moduláris kódok alkalmazása. Manapság már rengeteg szoftver – böngészők, médialejátszók vagy éppen antivíruseszközök – frissíti magát az internetről. A moduláris szoftver is hasonlóképpen működik, de más a célja. Olyan kódrészleteket tölt le különböző szerverekről, amelyek végül a felhasználó gépén állnak össze kártékony programmá. Mivel a szoftver működése kezdetben ártalmatlannak látszik, hiszen olyan, mintha csak frissítené magát, a felderítés itt sem egyszerű feladat. „2006 első felében a Symantec által jelzett legfőbb kártékony kódok 79 százaléka moduláris volt” – mondta el Gombás László.
A polimorf, azaz a saját kódjukat folyamatosan módosító vírusok ötlete nem új, de a vírusírók egyre kifinomultabb módon próbálják meg „alakváltóvá” tenni programjaikat. „Sokszor különböző algoritmussal tömörítik a kártékony kódokat, ez szintén bonyolultabbá teszi felismerésüket” – leplez le még egy trükköt Gombás László.
A támadók célpontjai idén elsõsorban a webes alkalmazások és a webre épülõ szolgáltatások voltak.
DRÓT NÉLKÜL. Az antivíruscégek is új stratégiákat alkalmaznak a védekezésben. Korábban a vírusirtó programok elsősorban a rosszindulatú kódok tipikus kódmintáit, az úgynevezett vírusszignatúrákat figyelték felderítés során. Ma már a biztonsági programok azt vizsgálják, nem viselkedik-e gyanúsan egy szoftver. Gyanús jelre blokkolják tevékenységét. „Rémálom lenne a wifi-hálózatokon terjedő vírusok megjelenése” – figyelmeztet Mikko Hyppönen. Szerinte a vezeték nélküli hálózatok terjedésével a vírusírók egyre inkább lehetséges célpontnak tekintik ezt a terepet.
A közvetlen adatlopás mellett a számítógépes bűnözők másik célja a fertőzött számítógépekből álló „zombihadseregek” kiépítése. A feketepiacon komoly összegért lehet eladni egy ilyen, a bűnöző által vezérelhető gépekből álló hálózatot. Elsősorban a kéretlen reklámleveleket, azaz spameket küldő „vállalkozásoknak”. „Az otthoni felhasználó napi munkája során nem is érzékeli, hogy mások mire használják a gépét” – állítja Fórján Tamás.
A Trend Micro antivíruscég szerint egyesek ilyen zombihálózatokat használnak a versenytársak on-
line hirdetési kampányainak megzavarására is: a távolról irányított gépekkel automatizálva kattintgatnak az internetes reklámokra, kimerítve a hirdető marketing-költségvetését. De alkalmazhatják ezeket a zombigépeket weboldalak megbénítására is, mint a brit fogadóirodákat támadó orosz gengszterek.
A mobilvírusok száma idén meghaladta a 200-at, a fertőzéseké a Trend Micro adatai szerint az év harmadik negyedében 6000 volt, és folyamatosan nő. „Két okból nem volt eddig robbanás: egyrészről még nincsenek automatikusan fertőző mobilvírusok, másrészről a Symbian operációs rendszer új változata eddig biztonságosabbnak bizonyult” – elemzi a helyzetet Mikko Hyppönen. Fenyegető jel, hogy az F-Secure kutatói felfedeztek már olyan, mobiltelefonra írt kémalkalmazást, amely minden, hanghívásokkal és SMS-ekkel kapcsolatos információt egy távoli szerverre továbbít. „Csak idő kérdése, hogy a támadók mikor veszik célkeresztbe az okostelefonokat és a PDA-kat, ezek ugyanis egyre több céges adatot is tárolnak” – véli Nemes Dániel, a Filter:max stratégiai igazgatója.
SZEMÉT ÉS LOPÁS. A Symantec becslése szerint az összes megfigyelt e-mail-forgalom 54 százaléka kéretlen reklámlevél. A legnépszerűbbek az egészségügyi szolgáltatások és termékek: ilyenekről szól a spamek 26 százaléka. Komorabb számokat mutat a Filter:max felmérése: az összes e-mail 80 százalékára teszi a spamek arányát. „Magyarországon nem ilyen vészes a helyzet, de eddigi adataink alapján a magyarországi e-mail-forgalom 40 százalékát közelíti meg a kéretlen levelek hányada” – tájékoztat Nemes Dániel. A spamek túlnyomó része külföldről érkezik, de hazai példák is vannak. Akár nevesebb cégek is saját néven küldenek spamnek minősülő küldeményeket.
Jelentősen megugrott az adathalászati kísérletek száma. 2006 első hat hónapja alatt a Symantec 157 477 egyedi adathalászó üzenetet észlelt: ez 81 százalékkal több, mint 2005 második felében. Az adathalászat a pénzügyi területen a leggyakoribb, a Symantec által nyomon követett adathalászó webhelyek 84 százaléka onnan való. A leggyakrabban célponttá váló márkanevek közül csupán egy nem pénzügyi szolgáltató: ez az eBay internetes árveréseket bonyolító oldala. „Horrorisztikus mértékben emelkedett az adathalászati kísérletek száma, s ez a jövőben hazánkban is gond lehet: egyrészről a PayPal, amely az ilyen akciók egyik kedvelt célpontja, Magyarországon is kínálja már szolgáltatásait, másrészről szinte biztos, hogy a magyar nyelvű csalilevelek is terjedni fognak jövőre” – ecseteli a hazai kilátásokat Nemes Dániel.
A támadók célpontjai idén elsősorban a webes alkalmazások és a webre épülő szolgáltatások voltak. A Symantec legfrissebb, 2006 első felének trendjeit elemző internetbiztonsági jelentése szerint az újonnan felfedezett esetek 69 százaléka a webalkalmazások ellen irányult. Ez részben az internetes alkalmazások növekvő népszerűségével magyarázható, részben azzal, hogy az ilyen alkalmazások gyakrabban jelennek meg, ugyanakkor nem esnek át olyan szigorú ellenőrzésen, mint a hagyományos szoftverek.
Az internetböngészőket támadó eljárások is népszerűek: így a támadók megkerülhetik a hálózat szokásos védelmi eszközeit, például a tűzfalat. A böngészők elleni sikeres támadás során a bűnözők megszerezhetik a bejelentkezett felhasználó jogosultságait, majd erre építkezve a hálózat többi gépe is célponttá válhat.
A támadások célpontjai elsősorban az otthoni felhasználók: ellenük irányult a célzott támadások 86 százaléka. Elsősorban a vállalatokénál jóval gyengébb védelem miatt. Jelentősen megugrott ugyanakkor a pénzügyi szektor elleni célzott támadások aránya: a korábbi 4 százalékról 14 százalékra. Habár arányaiban kis részt képviselnek, de növekszik a kormányzati, az IT és az energiaszektor iránti támadások száma.
A biztonságtudatosság szintje a magyarországi vállalatoknál erősen változó. A cégeknél felhalmozódott információvagyon vonzó lehet versenytársak vagy akár bűnözői körök számára is, ezért védelme elsődleges feladat. Az IDC tavalyi felmérése szerint a vírusvédelem vagy a tűzfalak használata régiónkban ugyan nagymértékben elterjedt, de jogosultságkezelést már csak a vállalatok 80 százaléka alkalmazott, titkosítási eljárásokat pedig kevesebb mint 70 százalékuk. „A cégek felszereltsége jobb, de a frissítés és a tájékozódás terén vannak hiányosságok” – mondja Gombás László.
A rendszermérnök nagyobb figyelmet fordítana a mobil eszközök terjedőben lévő használatára, illetve az egyéb fizikailag mozgatott eszközökre. Szerinte a karanténhálózatok kezelhetik jól ezt a veszélyforrást.
NAGY JÁTÉKOSOK. Az IT-biztonság a hazai informatikai piacnak is az egyik legdinamikusabban bővülő szegmense, az értékesítésből származó bevétel az IDC becslése szerint a 2004-es 22,8 millió dollárról tavaly 26,4 milliósra nőtt. 2009-ig Magyarországon is évente átlagosan több mint 20 százalék körüli bővülés várható a biztonsági termékek piacán.
Ez egyre több nagy játékost csábít a területre. A Microsoft már 4 éve meghirdette a „megbízható számítástechnika” jelszavát, számos felvásárlással erősítette biztonsági portfólióját. Az elmúlt évben számos megoldással rukkolt elő. Az otthoni felhasználókat célozza meg a Windows Live One Care szolgáltatás. Éves díj fejében kétirányú tűzfalat és vírusvédelmet nyújt. Az ingyenesen letölthető Windows Defender kémprogramokat távolít el. A vállalati felhasználók számára integrált, többszintű védelmet ígérő csomagot kínál a cég.
A Microsoft a legelterjedtebb asztali operációs rendszer szállítójaként is fontos szerepet játszik. „A Vista jelentős előrelépést jelent a biztonság terén” – állítja Mikko Hyppönen. De figyelmeztet is: minden rendszerre lehet rosszindulatú kódot írni.
Az operációs rendszer kialakítása miatt számos antivíruscég heves vitába keveredett a Microsofttal. Az eredeti terv szerint ugyanis a rendszermag, a Vista lelke hozzáférhetetlen lett volna: a biztonsági cégek szerint ez az ő szoftvereik működését akadályozná. A szóváltás végül kompromisszummal zárult: a Microsoft beleegyezett, hogy nyit olyan fejlesztői felületet, amelynek segítségével a programozók biztonságosan kommunikálhatnak a rendszermaggal.
Az Intel szintén indított korábban egy LaGrande Technology elnevezésű kezdeményezést. Az a hardver szintjén biztonságosabbá tenné a számítástechnikát. Ennek egyik eredménye az idén megjelent, vállalatok számára szánt vPro platform. Számos újítást tartalmaz biztonsági téren is. A rendszer elkülönítve kezeli a biztonsági szoftvereket, így a rosszindulatú programok képtelenek őket leállítani vagy módosítani. A vPro proaktív lépéseket is használ a vállalati hálózat védelme érdekében: folyamatosan figyeli az adatforgalmat, és gyanús jelek esetén a fertőzöttnek vélt gépet kizárja a hálózatból. A virtualizáció alkalmazása pedig tovább növeli a biztonságot.
„Az Oracle számára nagy múltú adatbázistermékei kapcsán már régóta kulcsfontosságú a biztonság” – mondta el a Figyelő Trend kérdésére Markovits Péter, az Oracle Hungary műszaki tanácsadója. A korábbi adatszintű hozzáférés-korlátozás mellett tovább finomodtak a biztonsági eszközök: nemcsak hálózati titkosítást és komplex autentikációt kínál a cég, hanem például biztonságos tárolást és mentést is, amely lehetetlenné teszi, hogy az adatokat egy másik adatbázisba beolvassák és így férjenek hozzájuk. Egy másik megoldás pedig a belső, magas jogosultságú felhasználók ellenőrzését is lehetővé teszi.
A nagy játékosok érdeklődését az Oracle műszaki tanácsadója azzal magyarázza, hogy az iparágban elindult a szabványosítás, így a nagy cégek is könnyebben illeszthetik a biztonsági megoldásokat saját architektúrájukba. „A hazai felhasználók számára ez a folyamat előnyt jelenthet: egyszerűbbé válik a vásárlás, magyar támogatást is kaphatnak az eszköz mellé” – véli Markovits Péter.
A nagy játékosok térhódítása azonban nem rajzolja át teljesen a biztonsági piacot, még ha megváltoztatja is. „Angliában ugyan már a Tescóban is lehet vásárolni sajátmárkás vírusirtót – mondja Nemes Dániel -, de specializált tudásra, specializált cégekre szükség lesz a jövőben is.”
Biztos, ami biztonságos
A biztonság nem csak az üzleti adatok és rendszerek megfelelő védelme miatt lehet fontos a vállalat számára. A szabvánnyal tanúsított biztonsági rendszer azért is piaci előnyt jelent, mert az ügyfelek tudják, hogy adataik jó kézben vannak – véli Teravágimov Attila, a T-Systems informatikai egysége, az Integris-Rendszerház IT-Telco igazgatója. „Tőlünk nyugatra az IT-biztonság auditálása gyakoribb, ezzel szemben Magyarországon még csak most kezd növekedni az érdeklődés az ilyen típusú szolgáltatás iránt – elemzi a jelen helyzetet. – Elsősorban a pénzügyi szektorban látszik erre igény.”
Egy jól megtervezett és megfelelően dokumentált folyamatok alapján működő cég számára nagyjából egyéves folyamat például az ISO 27001-es szabvány szerinti működést tanúsító dokumentum megszerzése. Először is az információs vagyont képező adatokat, dokumentumokat, informatikai eszközöket kell besorolni a potenciális kárnagyság szerint, majd kockázatelemzést kell végezni. E folyamat során törekedni kell a teljeskörűségre; egy vállalat minden információs vagyonelemét fel kell térképezni. „Nehéz meghatározni az adatok kárértékét vagy kockázatát, de ez elengedhetetlen lépés egy jól felépített biztonsági rendszer kiépítéséhez” – mondja Teravágimov Attila.
További lépés a biztonságosabb működés felé a megfelelő, jogosultságokat és felelősségeket is pontosan leíró szabályzat megalkotása. Az igazán jó védelem pedig nem csak a különböző eszközök, például tűzfal használatát jelenti. Legalább ennyire fontos az alkalmazottak képzése, biztonságtudatosságuk növelése, illetve a megfelelő vállalati politika kialakítása többek között a jelszavakkal vagy azok cseréjével kapcsolatban.
A tanúsítvány megszerzése azonban nem jelentheti a biztonsággal kapcsolatos projekt végállomását. Az új adatokat, folyamatokat megfelelően integrálni kell a rendszerbe, és a minőségbiztosítási rendszerekhez hasonlóan évenkénti felülvizsgálat kíséri figyelemmel, hogy a cég működése változatlanul megfelel-e a szabványnak.
