Néhány éve az F-Secure informatikai biztonsági cég helsinki központjában döbbenten figyeltem a fél falat elfoglaló, a világtérképet ábrázoló kijelzőt, amelyen a vírusok terjedését követték figyelemmel. A nagyobb városokból kiinduló, a fertőzést jelző vörös foltok gyorsan terjedtek, és az adatok szerint mindössze néhány óra alatt az egész világon végigsöpört egy-egy internetes vírus.
Új köntösben
Míg pár éve még viszonylag gyakran figyelhettek meg gyorsan terjedő, globális víruskitöréseket a finn társaság szakemberei, addig napjainkra alapvetően megváltozott a helyzet. Az egész világra kiterjedő nagy fertőzésekről egyre ritkábban lehet hallani, a vírusok már nem kerülnek a lapok címoldalára. Bár kevésbé vannak szem előtt, számuk folyamatosan nő. A vírusírók továbbléptek a korábbi tömegterjesztési támadásoktól, mint amilyen a „Netsky” és a „Bagel” volt. Tavaly a vírusok többféle formában jelentek meg, és általában nagyon kifinomult botnetekhez – megfertőzött, és távolról irányított számítógépek hálózata – kapcsolódtak – derül ki a Cisco informatikai biztonsági jelentéséből.
Régebben a vírusok és férgek (Code Red, Nimda stb.) azért támadták meg a számítógépeket, hogy kárt okozzanak, és nevüket világszerte megismerjék. Az internethasználat és az elektronikus kereskedelem terjedésével azonban kialakultak az összetett technikát alkalmazó fenyegetések (spamhez kapcsolódó adathalászat, botnetek stb.), amelyek célja már az anyagi haszonszerzés és a személyes adatok begyűjtése. Ez a fajta „álruhás rablás” fokozatosan nemzetközi jelenséggé vált.
Éppen ezért az információbiztonság ma már nemcsak egy-egy csatát jelent egy vírus- vagy spamtámadás ellen, gyakran merülnek fel jogi, azonosítási vagy geopolitikai kérdések is. Ez utóbbira jó példa az Észtország ellen tavaly tavasszal – állítólag orosz hackerek által politikai motivációból – elkövetett szolgáltatástúlterheléses támadássorozat.
Célratörő károkozók
Az elmúlt év fordulópont volt a kiberbűnözők és az informatikai biztonsági cégek közötti küzdelemben az Ironport biztonságtechnikai vállalkozás elemzése szerint, és sajnos úgy tűnik, a rosszfiúk újra előnyre tettek szert. A múlt év elején ugyanis úgy tűnt, hogy a rosszindulatú programok megjelenési formái végre konszolidálódnak, ám olyan új, bonyolult támadási technikák jelentek meg, amelyek egyértelműen professzionális programozók munkájára vallottak – a kifejlesztésük ugyanis hosszú kutatást és fejlesztési folyamatot igényelhetett. A múlt évben az addig ismert fenyegetések jelentős változásokon mentek keresztül, a rosszindulatú programok lopakodó üzemmódra kapcsoltak, és a korábbinál kifinomultabbá váltak.
Ezek modern változata a különböző web 2.0-s közösségi oldalak mintájára épül. Napjaink kártevői (mint például a „Storm” elnevezésű trójai) kollaboratív, adaptív, peer-to-peer (p2p) technikára építenek, és ráadásul intelligensek. A szenzorok számára nem észlelhető módon közlekednek – vállalatok vagy magánszemélyek számítógépein élnek észrevétlenül hónapokig vagy akár évekig. A trójaiak és egyéb kártevők új változatai egyre célratörőbbek és egyre rövidebb élettartamúak lesznek, ezért észlelésük is nehezebb.
A nagyvállalatokra mind nagyobb nyomás nehezedik, hogy megfelelően gondoskodjanak érzékeny adataik biztonságáról – akár hitelkártyaszámokról, vállalati bevételekről vagy éppen új termékek terveiről legyen szó. A kártevők programozói kifinomult p2p-hálózatokat alakítanak ki éppen az ilyen adatok begyűjtésére; utolérni és megakadályozni őket pedig egyre nehezebb. Az informatikusoknak gondoskodniuk kell a rosszindulatú forgalom méréséről saját hálózatukon, és olyan összetett biztonsági rendszert kell felépíteniük, amely például hálózatalapú kockázatészlelési és hálózati hozzáférést szabályozó elemeket is tartalmaz.
Milliárdos károk
A kéretlen levelek, a vírusok és a rosszindulatú programok támadásai jelentős költségekkel járnak. Egy átlagos felhasználónak napi öt-tíz percet kell a spamáradat kezelésére szánnia.
Komolyabb esetben egy személyi számítógép rendbetétele 500 dollárra is rúghat, az adatvesztés azonban ennél jóval nagyobb kárt is okozhat. Legyen szó akár rosszindulatú támadásról, akár véletlen hibáról, az adatok elvesztése egy vállalat számára presztízsveszteséget jelent.
Becslések szerint 2007-ben mintegy hatvanmillió ember személyes adatait hozták nyilvánosságra; a kármentés, valamint a kiesett munkaórák összértéke körülbelül húszmilliárd dollár volt. A helyzetet nehezíti, hogy a vállalati adatok mintegy 60 százalékát védelem nélküli személyi számítógépeken és noteszgépeken tárolják, emellett a cégek közel fele nem dolgozott ki eljárást arra az esetre, ha az ügyfelek adatai valami miatt kompromittálódnak.
Cégekre halásznak
Tudta-e?
Egy-egy támadási technika élettartama látványosan csökkent, a számuk azonban növekszik. Míg 2006-ban a képek alkalmazása jelentette a legnagyobb újítást a kéretlen levelek esetében, addig 2007-ben több mint húsz fájlfajtával találkozhattunk a mellékletekben, rövidebb támadások keretében.
Az elmúlt évben duplájára nőtt a kéretlen elektronikus üzenetek (spam) száma, jelenleg már naponta több mint 120 milliárdot küldenek szét – mondta el Hirsch Gábor, a Cisco Magyarország üzletfejlesztési vezetője. Ez azt jelenti, hogy a világon minden emberre húsz spam jut naponta.
A problémát fokozza, hogy veszélyesebbek lettek a kéretlen üzenetek, mivel a cél már nem annyira a termékértékesítés, hanem sokkal inkább a spamhálózatok bővítése. A tavaly küldött rosszindulatú üzenetek 83 százaléka tartalmazott internetes oldalakra mutató hivatkozást (URL), s ez arra utal, hogy adathalász- (phishing) támadásokhoz használták őket – vázolta a helyzetet Hirsch Gábor. Emellett a dirty spamek, vagyis a rosszindulatú kódokat tartalmazó oldalakra mutató URL-eket tartalmazó üzenetek mennyisége 253 százalékkal nőtt.
A múlt év vége felé változás volt a phishing támadásoknál is, az egyedi adathalász-akciók száma csökkent – novemberben valamivel több mint 28 ezret regisztráltak, ez 3500-zal marad el az októberitől –, ugyanakkor a megtámadott cégek száma rekordot ért el. Az adathalászat ellen küzdő APWG (Anti Phishing Working Group) adatai szerint novemberben 178 társaság nevével próbáltak visszaélni a világháló bűnözői. Ez 2,23 százalékos növekedést jelent az előző, tavaly áprilisi csúcshoz képest és 48 százalékosat az októberi adathoz viszonyítva. Míg korábban főként a nagyobb amerikai bankok és hitelintézetek voltak az adathalászok célpontjai, addig 2007 vége felé az európai és közel-keleti pénzügyi világból is egyre több társaság vált ehhez hasonló támadás áldozatává (Magyarországon is több bank nevében küldtek ki hamis leveleket ügyfél-azonosítókat, PIN kódokat kérve).
Persze a phishing azon támadások közé tartozik, amelyeket a legnehezebb hardver- vagy szoftvereszközökkel kivédeni, hiszen az informatikai biztonsági hálózat leggyengébb láncszemét, a felhasználót veszi célba. Ahhoz, hogy az ilyen fenyegetésekkel szemben is hatékonyan tudjunk védekezni, ki kell várni, amíg felnő egy-két generáció, és az emberek megtanulják, hogy mit nem szabad csinálni az interneten – véli Györkő Zoltán, a főként tűzfalmegoldásokat fejlesztő BalaBit Kft. üzletfejlesztési igazgatója. Biztató jelek persze már vannak, a BalaBit munkatársa szerint az informatikai biztonság egyes funkciói egyre inkább „közművé” válnak, ugyanolyan alapelvárások lesznek az üzleti világban – és ennek hatására idővel az otthoni felhasználók körében is –, mint a fűtés vagy a világítás.
Hogy mire számíthatunk a virtuális világ bűnözőitől az idén? Ami már most biztosnak tűnik, a spamek száma tovább nő, de a Cisco tanulmánya szerint fel kell készülniük a legrosszabbra az okos mobiltelefonok tulajdonosainak is, ugyanis az idén várhatóan nő az ilyen típusú eszközöket támadó alkalmazások száma. Hasonló trend várható a hordozható adathordozók, illetve a játékeszközök esetében is. Az idei év meghatározó informatikai biztonsági kihívását azonban várhatóan a social malware jelenti majd, azaz fel kell készülnünk az egyedi hálózatokat, közösségi rendszereket támadó rosszindulatú kódok számának növekedésére.
