A Symantec a kártékony internetes aktivitás megfigyelésére kialakított rendszerének tanulságait foglalja össze félévenként kiadott jelentésében. Legutóbbi elemzése többek között azt is megvizsgálta, a támadások hogyan és miért voltak különböző hatással a vállalatokra, s milyen veszélyforrásokkal kell a jövőben számítaniuk a cégeknek.
A 2003. év egyik legjelentősebb eseménysorozata augusztusban következett be, amikor is az interneten három új, az egytől ötig terjedő veszélyességi skálán negyedik helyet elfoglaló féreg jelent meg mindössze 12 nap alatt. A Blaster, a Welchia és a Sobig.F többmillió gépet fertőzött meg világszerte: a kár több mint kétmilliárd dollárra becsülhető.
Támadások sorozatban
Az egyik leggyakrabban emlegetett esemény a Blaster féreg volt, amely a Windows NT, 2000, XP és 2003 rendszerek “buffer overflow” (puffer-túlcsordulásos) biztonsági résének kihasználásán alapuló stratégiát alkalmazott a terjeszkedésre. A férget kevesebb, mint egy hónappal azután bocsátották ki, miután nyilvánosságra hozták a legújabb sebezhetőségi felületek listáját, és a rendszergazdák elérhetővé tették a javítást. Több vállalat azonban nem vette figyelembe a veszélyt, nem alkalmazták az óvintézkedést, ami a féreg gyors elterjedéséhez vezetett. Korábbi férgek, mint például a CodeRed és a Slammer olyan speciális szolgáltatásokra támaszkodtak, amilyeneket a Web- és adatbázis-szerverek futtatnak – ezzel szemben a Blaster a DCOM Remote Procedure Call (Távoli Folyamat-Indítás) szolgáltatás hibáját használta ki. Ez a sebezhető komponens a céges és magánfelhasználói rendszerekben egyaránt megtalálható, és a felsorolt rendszerek indításakor alapbeállítás szerint elindul. A féreg az RPC hívások puszta mennyiségével okozott zavart a hálózatokban.
A Welchia alig egy héttel követte a Blastert, és ugyanazzal a módszerrel terjedt a Windows XP rendszerekben, csakhogy HTTP forgalom útján is át tudott terjedni azokra a Windows 2000 rendszerekre, amelyek a Microsoft IIS 5.0 Web szervert futtatták, azáltal, hogy egy régebbi puffertúlcsordítási technológiát alkalmazott. A HTTP-n át való terjedés segítségével a Welchia még az olyan tűzfalakon is átjutott, amelyek alapvetően blokkolják az RPC hívásokat – ezáltal sokkal könnyebben terjedt át az internetről intranetekre, és fordítva.
Vírusok toplistája
A vírusok tízes toplistájában a Sobig.F is szerepel, amely szintén a legutolsó bejelentési ciklusban jelentkezett. Ez a féreg a saját SMTP (levelező)-motorját használva terjeszkedett, és elárasztotta a felhasználói és a céges szektor postafiókjait is. A Sobig.F család több területen is nagyobb kifinomultságról tett tanúbizonyságot, mint a korábbi ártó szándékú programok. Társadalomelméleti technológiákat tartalmazott és alkalmazott a terjeszkedéséhez, arra is beprogramozták, hogy irányítóközpontként működjék; kéthetente frissítette magát. Még az is szerepelt a tervezésében, hogy terjedésének növelése érdekében kihasználja az éppen elérhető SMTP proxikat. A Sobig.F képes volt kihasználni a felhasználók bizalmát, hogy elképesztő gyorsasággal megvethesse a lábát az egész világon.
A Symantec Managed Security Services és a Symantec DeepSight Threat Management System adatbázisa szerint a 2003. év legdominánsabb támadássorozata az SQLExp féreggel volt kapcsolatos, más néven a Slammerrel, amely az összes támadás több mint egynegyedét tette ki. Az SQLExp-t 2003 január 24-én indították, és a bejelentések időszakában már öt hónapos volt. Ez a példa jól érzékelteti, hogy a régi fenyegetések jóval a felbukkanásuk után is hatással lehetnek a szervezetekre. A támadások magas számához az SQLExp folyamatos terjedése vezetett. Egy terjedési próbálkozás során a féreg olyan mennyiségű UDP csomagot küld, hogy rendszeresen túlterheli az összekapcsolt hálózatok sávszélességét.
Célpontban a bankok
 |
 |
|
|
Védekezési stratégiák vállalatoknak
1. Állítsuk le a rendszert, és távolítsuk el a felesleges szolgáltatásokat.
2. Ha egy összetett kártevő kihasznál valamely hálózati szolgáltatást, állítsuk le, vagy tiltsuk le az eléréseit, amíg nem alkalmazzuk a megfelelő javítást.
3. Mindig gondoskodjunk a megfelelő verziójú javításokról, különösen az olyan gépeken, amelyek nyilvános hozzáférésűek és elérhetők a tűzfalon át; mint például a HTTP, FTP, levelezési és DNS szolgáltatások.
4. Gondoskodjunk jelszóházirend alkalmazásáról.
5. Az e-mail szervereket állítsuk be úgy, hogy blokkolják vagy távolítsák el az olyan kiterjesztésű csatolt állományokat, amelyeket általában vírusok terjesztésére használnak: például vbs, bat, exe, pif, scr.
6. Gyorsan izoláljuk a fertőzött számítógépeket, hogy megelőzzük a vállalat további kizsákmányolását.
7. Tanítsuk meg alkalmazottainkat arra, hogy ne nyissanak meg csatolt állományokat, csak ha számítanak rájuk, továbbá ne futtassanak az internetről letöltött programokat, csak miután vírusellenőrzésen átestek.
8. Bizonyosodjunk meg róla, hogy van válaszstratégiánk vészhelyzetre.
9. Tájékoztassuk a menedzsmentet a biztonsági költségvetés szükségességéről
10.Teszteljük a biztonságot, hogy megbizonyosodjunk a megfelelő ellenőrzés működéséről. |
|
|
|
|
|
Az összetett férgek toplistáját a Bugbear.B vezeti, amelyet arra terveztek, hogy bizalmas adatokat, mint például állománynevek listáit, a futó folyamatok listáját, felhasználóneveket, a processzor típusát, az operációs rendszer verzióját, a memória információit, helyi meghajtók és hálózati erőforrások információit nyerje ki. Emellett leütött karakterfüzéreket is kiszolgáltat harmadik félnek, ezzel felfedve olyan fontos információkat, mint a jelszavak és kódkulcsok. E kártevő készítője látszólag a pénzintézményeket vette célba, azzal a kísérlettel, hogy pénzügyi adatokhoz, vagy – az ügyfelek folyószámla-adatainak és jelszavainak ellopásával – bankszámlákhoz férjen hozzá.
2003 első felében az elemzésben szereplő cégek egyhatoda jelentett komolyabb betörést, míg a másodikban már a vizsgált cégek fele. A bizalmas adatok kiszolgáltatására irányuló férgek és erőfeszítések száma 519 százalékkal növekedett, és a bejelentéseknek már 78 százalékát teszik ki. A pénzügyi szolgáltató szektort, amely a legtámadottabb az összes iparág közül, éppen négyszer annyi támadás érte, mint a támadottsági listán tizedik helyet elfoglaló telekommunikációs szektort.
Az olyan vállalkozásokat, amelyek jelentős anyagi forrásokkal rendelkeznek, viszonylag sok súlyos támadás érte 2003-ban. A létfontosságú infrastrukturális szervek szintén sok és hatékony támadást tapasztaltak. Érdekes bejegyzés a hatodik helyet elfoglaló nonprofit szervezeti ág. Ezek a szervezetek – bár az olyan hackerek figyelmét nem keltik fel, akik vagyonszerzés céljából törnek be – politikai és szociális okok miatt válnak célponttá. Az is megfigyelhető, hogy minél nagyobb egy cég internetjelenléte, annál gyakoribbak a támadások. Jó példa erre az első és második helyezett high-tech ipar és e-kereskedelem, amelyeket messze több támadás ért, mint a többi iparágat.
Veszélyeztetett régiók
Az összes támadás 58 százalékával továbbra is az Egyesült Államok az első helyezett a támadások kiindulópontjaként szereplő országok toplistáján. Ausztrália, 2002-2003 első felében még nem is szerepelt a listán, új bejegyzésként, az ötödik helyen végezte. Kanada és Japán folyamatosan törnek felfelé, a korábban ötödik Kanada a második helyre került, míg Japán az elmúlt hat hónap leforgása alatt kilencedik helyről a harmadikra.
A 2002-ben még a második helyen szereplő Dél-Koreából négyszer annyi támadást indítottak, mint Kanadából, amely most a hetedik helyre csúszott. Ez a csökkenés arra enged következtetni, hogy a Koreai internethasználók egyre inkább odafigyelnek a megfelelő patch-ek alkalmazására. Azt azonban fontos megjegyezni azt, hogy a támadások származási helye nem feltétlenül egyezik meg a támadóéval; egy kínai támadó akár egy dél-koreai rendszert is használhat arra, hogy támadást intézzen egy new-yorki vállalati webszerverre.
A nemzetközi hatásköri kérdések pedig sokszor meggátolják a megfelelő vizsgálatot egy támadó valódi elhelyezkedésével kapcsolatban. Legtöbb esetében – különösen Franciaország, Olaszország, Németország és Ausztrália estében – a támadó rendszerek hozzájuk földrajzilag közel elhelyezkedő célpontokat támadtak. Ennek több oka is lehet, mint például a lehetséges célszervezet népszerűsége, az állandó IP-címek és a nyelvezet – egy, a támadó számára ismeretlen nyelvű rendszerbe való betörés nehezebbnek bizonyulhat. Dél-Korea az egyetlen ország, amely tőle távol eső célpontok támadásának kiindulópontja volt; ezek inkább Ausztrália és Észak-Amerika felé irányultak.
Sebezhető csatornák
|
|
|
|
Igy félünk mi: variációk a biztonságra
1. Használjunk olyan internetes biztonsági rendszert, amely ötvözi az antivírus, a tűzfal, a behatolásvédelem és a sebezhetőségmenedzsment funkciókat, a lehető legteljesebb védelem érdekében az összetett károkozók ellen. 2. Bizonyosodjunk meg a biztonsági frissítések naprakészségéről. 3. Jelszavaink betűk és számok keverékéből álljanak. Ne használjunk szótári szavakat. Gyakran változtassuk jelszavainkat. 4. Soha ne nyissunk meg csatolt állományokat, csak ha ismert a céljuk. 5. Mindig gondoskodjunk a vírusdefiníciók frissítéséről. Ha a legfrissebbeket használjuk, a vállalatok és a fogyasztók egyaránt védve vannak a “vadon tenyésző” vírusoktól. 6. A felhasználók rutinszerűen ellenőrizzék a Symantec Security Check segítségével – ez a www.symantec.com/securitycheck címen található -, hogy a PC vagy Macintosh rendszereik sebezhetőek-e. 7. Mindennemű számítógép-használónak fel kell tudnia ismerni az olyan csalásokat, mint például az olyan névtelen leveleket, amelyek azt tartalmazzák, hogy “Küldd tovább mindenkinek, akit ismersz”, és az olyan technikai zsargont, amely a felhasználók összezavarására vagy megrémítésére irányul. A vásárlók és üzletemberek egyaránt ügyeljenek arra, hogy megbízható forrásból származik-e az információ. A legjobb cselekvés az ilyen levelek ellen az azonnali törlés. 8. A felhasználók részt vehetnek a cyberbűnözés elleni harcban, ha nyomon követik és bejelentik a behatolókat. A Symantec Security Check nyomkövető szolgáltatással gyorsan lokalizálni lehet a potenciális hackereket, és információk továbbíthatók a támadó szolgáltatójának vagy a helyi rendőrségnek. |
|
|
|
|
|
2003-ban a Symantec átlagosan napi 7, összesen 2636 új biztonsági rést dokumentált. Ezek 70 százaléka olyan súlyos tényező, amelyek kihasználásához nem kell komolyabb szaktudás vagy eszköz. Ez elsősorban a Web alapú alkalmazások sebezhetősége miatt van. Egyre gyakrabban publikálnak olyan programkódot is, amely a gyenge pontok kihasználását szolgálja.
Növekszik az úgynevezett “zero-day” férgek megjelenésének valószínűsége is. Ezek – a Blasterrel ellentétben – még nem ismert hibákat használnak ki, és hosszabb ideig tartana elkészíteni ellenük a megfelelő javítást, mint az összes fogékony rendszer megfertőzése. Valójában meglepő, hogy ez eddig még nem fordult elő. Ez olyan programok telepítését engedélyezi a támadóknak, mint a billentyűzet-figyelő szoftverek, vagy további összetett férgek. A kutatók továbbra is keresik a Microsoft Internet Explorer gyenge pontjait, amelyek létezése potenciális veszélyforrások a vállalatok számára; a Symantec 2003 első felében 20, a másodikban 34 ilyen gyenge pontot tett közzé.
Megelőző védekezés
A Symantec a jövőben nagyobb féregjárványokra számít, amelyek a hálózati eszközök túltöltődését okozhatják majd, megbénítva ezáltal a hálózati forgalmat, megszüntetve az elérhetőséget, és megtörve az üzlet folyamatosságát, gátolva mind a céges és végfelhasználói kommunikációt. Bár nehéz védekezni a sebesen terjedő férgek ellen, a kár csökkentésének egyik módja, hogy hatásosabb eljárásokat alkalmazunk a rendszer gyenge pontjainak felderítésére és azonnali kijavítására.
Sajnos ma még nem ez a standard eljárás, a javítások és biztonsági frissítések csak a kár keletkezése után készülnek el. 2004 januárjában a MyDoom nevű féreg a Sobig.F-hez hasonló mértékben kezdett el terjedni, amelyet két új féreg követett, a Doomjuice és a Deadhat. Ezek a MyDoom által feltárt kiskapukat használják ki. Az ilyen összetett férgeket a jövőben is a széles körű denial-of-service támadások hordozóiként fogják használni. Ma még kevés a wireless hand-held eszközökre letölthető, harmadik féltől származó szoftver, ezért az ilyen eszközök ellen irányuló rossz szándékú kódok veszélye minimális. Az olyan eszközök elterjedése, amelyeknek már e-mail és instant messageing képességei is vannak, növekvő fenyegetettséget jelenthet a jövőben.
