Bezpieczeństwo danych w 2007

Na początku roku 2007 liczba wykrytych szkodliwych programów wynosiła ćwierć miliona. Pod koniec roku 2007 wzrosła do około pół miliona. Zatem w ciągu zaledwie jednego roku powstało tyle samo złośliwych aplikacji co przez ostatnie 20 lat. Powstaje mniej zupełnie nowych rodzajów złośliwych aplikacji, ale za to więcej tworzonych jest zestawów szkodliwych programów, które choć wykorzystują dobrze znane techniki zostały ulepszone pod kątem efektywności działania.
Koń trojański na bank
W Internecie działa coraz więcej witryn phishingowych (wyłudzających informacje). Prawdopodobnie ma to związek z pakietami takimi jak Rock Phish. Prowadzenie wielu witryn phishingowych nie jest trudniejsze od prowadzenia jednej. Z tego powodu ilość takich stron rośnie co powoduje spadek efektywności phishingu.

Co zatem robią ci, którzy chcą wykraść informacje bankowe? Używają koni trojańskich. Bankowe trojany ukrywają się i cierpliwie czekają na jakąkolwiek aktywność związaną z dokonywaniem operacji finansowych poprzez sieć. Zadaniem trojana jest monitorowanie aktywności przeglądarki (adresów WWW) pod kątem słów kluczowych związanych z bankowością. Jak podkreślają badacze z Laboratorium F-Secure, po wykryciu operacji bankowych stosowane są różne techniki, aby ukraść dane:

•    Przejmowanie formularzy
•    Przechwytywanie obrazów i plików wideo
•    Rejestrowanie wybieranych znaków na klawiaturze
•    Wstawianie fałszywych stron lub pól formularzy
•    Pharming
•    Ataki typu „Man in the Middle”

Bankowe trojany nie są nowym zjawiskiem, ale w roku 2007 ich liczba się zwiększyła. Man in the Middle to technika, w której cyberprzestępca wykorzystuje imitację witryny bankowej w celu pozyskania loginu i hasła, a następnie używa ich do skorzystania z istniejącego konta swojej ofiary. Eksperci z Laboratorium F-Secure przewidują, że ten trend  nasili się w 2008 roku.

Spear phishing
Jednym z oczywistych niebezpieczeństw jest użycie danych poufnych do kradzieży tożsamości. Nowymi zagrożeniami są natomiast ataki ukierunkowane oraz masowy „spear phishing”. W tych metodach inżynierii społecznej wykorzystuje się bardzo szczegółowe informacje osobiste. Napastnik zwraca się do ofiary po imieniu, a treść wiadomości jest zgodna z osobistymi danymi.

Spam adresowany do „Szanownego klienta” nie jest tak efektywny, jak wiadomość przesłana do konkretnej osoby z wykorzystaniem odpowiednich tytułów służbowych i nazw miejsc. Wystarczy dołączyć kilka faktów, a ofiara przestaje mieć się na baczności.

Pod koniec listopada zrobiło się głośno o masowym ukierunkowanym ataku, w którym przynętą był Departament Sprawiedliwości Stanów Zjednoczonych. Użyto nazwisk odbiorców i nazw zatrudniających ich firm. Wiadomość stwierdzała, że firma otrzymała skargę od Departamentu Sprawiedliwości. Rzekoma skarga, w rzeczywistości program pobierający trojana, była dołączona do wiadomości.

Osobiste informacje używane w tego rodzaju atakach są powszechnie dostępne. Napastnicy mają jeszcze łatwiejsze zadanie ze względu na rosnącą popularność witryn społecznościowych, gdzie użytkownicy sami chętnie ujawniają dane.

Jak oceniają eksperci z laboratorium F-Secure w 2008 roku pojawi się więcej ukierunkowanych ataków pocztowych, w których technika inżynierii społecznej zostanie wzbogacona informacjami wykradzionymi z baz danych.

Zgubiłem hasło? Podasz mi swoje? …Twój Trojan ;)
W tym roku kolejnym groźnym zjawiskiem były trojany wykradające hasła,  których celem ataku stały się  gry online. Gry online zyskiwały na popularności przez cały 2007 rok. Co ważniejsze — przynosiły coraz większe przychody. W wirtualnych światach gier online istnieją wirtualne towary. Wielu graczy jest skłonnych płacić za nie prawdziwymi pieniędzmi. Choć więc towary te nie mają fizycznej postaci, ich wartość jest rzeczywista, a rzeczy wartościowe jak powszechnie wiadomo stają się celem kradzieży. Ukradzione towary są sprzedawane na aukcjach, a złodziei trudno zidentyfikować, ponieważ przestępstwo jest w całości popełniane online.

Rodzina Trojan-PSW:W32/OnlineGames pojawiła się 14 września 2006 roku. Pod koniec ubiegłego roku zespół badawczy F-Secure wykrył aż 150  przypadków.

Zlob - fałszywe kodeki wideo i modyfikatory ustawień DNS

Jednym ze szkodników odnoszących największe sukcesy w 2007 roku jest Zlob. To program szpiegowski, który podaje się za „kodek wideo” potrzebny do oglądania treści zabezpieczonych przed kopiowaniem.  Warianty Zloba po zainstalowaniu zwykle wyświetlają fałszywe komunikaty o błędach, które mają przekonać użytkownika do zakupienia i zainstalowania rzekomych programów antyszpiegowskich.

Inne szkodniki napisane przez twórców Zloba, takie jak DNSChanger, bez wiedzy użytkowników rekonfigurują adres serwera DNS. Serwery DNS odpowiadają za tłumaczenie tekstowych adresów URL na liczbowe adresy IP. Zmiana ustawień DNS sprawia, że twórcy Zloba zyskują kontrolę nad przeglądarką, za pomocą której są w stanie kierować użytkowników w dowolne miejsce w sieci. Jak to wygląda w praktyce? Jeśli ofiara wyszuka termin „bilety lotnicze”, sponsorowane przez Zlob, generujące przychody łącze znajdzie się na początku listy wyników. Zatem można użyć określenia, iż Zlob utrzymuje się z pasożytnictwa. Kradzież danych ofiar nie jest celem. Cyberprzestępcy nie kradną też zasobów komputera, aby zbudować sieć botów. Zamiast tego  wykorzystują oni swoje ofiary, które często nawet sobie tego faktu nie uświadamiają.

Pod koniec października gang Zloba powiększył potencjalne grono ofiar, wprowadzając wersje programu DNSChanger działające w systemie Mac OS X.

Storm – sieć botów 2007 roku
W roku 2007 narodziła się  kolekcja trojanów i robaków e-mail nazwana „Storm Worm”. W piątek 19 stycznia 2007 roku w sieci zaczęły krążyć wiadomości e-mail z tematem opartym na rzeczywistym wydarzeniu, czyli porywistych burzach szalejących w Europie. Z tematu „230 dead as storm batters Europe” wzięła się nazwa Storm. Użycie udramatyzowanych wersji rzeczywistych nagłówków prasowych okazało się pomysłowym zastosowaniem inżynierii społecznej i początkowo było bardzo skuteczne. Jednakże w pierwszej połowie roku technika zaczęła tracić na efektywność, ponieważ była zbyt często powtarzana. Dlatego gang stojący za Stormem zmienił metodę działania. Podczas drugiej połowy 2007 roku stale modyfikował swoją taktykę inżynierii społecznej. Biorąc na celownik Stany Zjednoczone, korzystał z państwowych świąt, na przykład Dnia Pracy, oraz sezonowych wydarzeń, takich jak początek i koniec National Football League (NFL). Mierząc w innych odbiorców, twórcy Storma wykorzystywali popularne trendy i witryny. Jednym z trików była obietnica zobaczenia „siebie” w rzekomym wideo YouTube przesyłana w wiadomości e-mail, która wskazywała fałszywą witrynę YouTube.

Gang zmienił również wektor infekcji, ponieważ skuteczność wykrywania Storma zwiększyła się i załączniki do wiadomości e-mail były blokowane. Zamiast dołączać szkodliwy kod do wiadomości e-mail, cyberprzestępcy zaczęli przesyłać wiadomości z łączami do niebezpiecznych stron WWW. Kiedy i strony WWW przestały być dobrym rozwiązaniem, cyberprzestępcy oczyścili strony i umieścili na nich łącza do złośliwych aplikacji. Tak więc wektor ataku przesunął się z wiadomości e-mail na strony WWW przesyłające pliki, a potem na strony WWW z odsyłaczami do plików (a pliki te są modyfikowane na bieżąco…).

Warto zauważyć, że w niektórych witrynach Storma znajdują się ramki oferujące 16 wersji złośliwego kodu adresom IP ze Stanów Zjednoczonych zamiast 9, które były oferowane adresom IP spoza Stanów. Storm jest produkowany w Europie, ale zgodnie z oceną badaczy z F-Secure wiele wskazuje na to, że twórcy Storma działają po obu stronach Atlantyku.

Kolejną specjalną cechą sieci botów Storma, na która warto zwrócić uwagę jest to, że chroni sama siebie. Powtarzanie żądań z jednego źródła sprawia, że sieć odpowiada atakiem DDoS. Badania trzeba prowadzić ostrożnie, bo w przeciwnym razie sieć botów staje się agresywna.

Apple a bezpieczeństwo
Rok 2007 był bardzo pomyślny dla firmy Apple. Jej sprzęt jest popularniejszy niż kiedykolwiek przedtem. Wniosek cyberprzestępców był prosty – więcej sprzętu Apple’a oznacza więcej zainstalowanego oprogramowania Apple’a.

Jak już wspomniano, programy modyfikujące ustawienia DNS zaczęły atakować system Mac OSX. Użytkownicy są przekonywani do wprowadzenia hasła administratora — wystarczy odrobina pomysłowej inżynierii społecznej. Nakłonienie użytkownika macintosha do wpisania hasła w celu zainstalowania „kodeka wideo” nie jest szczególnie trudnym wyzwaniem, a przynajmniej nie było w przypadku szkodliwego oprogramowania dla Windows. Dotychczasowy brak niebezpiecznych aplikacji atakujących system Mac OS X może postawić jego użytkowników w niekorzystnym położeniu, jeśli napastnik wykorzysta ich fałszywe poczucie bezpieczeństwa. Udział rynkowy macintoshy jest na tyle znaczący, że komputery Apple’a stają się celem pasożytów Zloba. Jak uczy doświadczenie cyberprzestępcy nie tracą czasu na pisanie czegoś, co nie przyniosłoby zysku.

Zapewne przyczyniła się do rozwoju tego trendu  napisana przez Apple przeglądarka Safari dla Windows. Kiedy w połowie czerwca została udostępniona jej wersja beta, badacze odkryli w niej wiele usterek. Niestety znaczna ich część nie została poprawiona w wersji Safari dla macintosha.

Witryny WWW przesyłające modyfikatory ustawień DNS ustalają system operacyjny i wersję przeglądarki używaną przez odwiedzającego. Odpowiednia wersja złośliwego kodu jest dostarczana dynamicznie. Jeśli witrynę odwiedzi użytkownik macintosha, otrzyma szkodliwe oprogramowanie dostosowane do systemu Mac OS.

iPhone
Telefon Apple iPhone cechuje się imponującym wzornictwem i unikatowym interfejsem użytkownika. W Stanach Zjednoczonych trafił do sprzedaży pod koniec czerwca. W Europie wprowadzono go na rynek w czwartym kwartale bieżącego roku.W ciągu zaledwie sześciu miesięcy urządzenie to zostało dość gruntownie rozpracowane.

Wykorzystuje ono wersję systemu Mac OS X, który z kolei wywodzi się z Unixa. Ci, którzy znają zabezpieczenia unixowe, mogą względnie łatwo „przenieść” swoją wiedzę i umiejętności do telefonu iPhone.

iPhone zawiera również przeglądarkę Safari i zapewnia do niej pełny dostęp. Ze względu na „przenośność wiedzy” i wspomniane już usterki w Safari, a także na znakomity design urządzenia, iPhone stał się celem ogromnego zainteresowania hakerów. Dodajmy do tego fakt, że iPhone jest urządzeniem „zablokowanym”, a otrzymamy kombinację czynników, która musiała doprowadzić do prób złamania zabezpieczeń telefonu. We wrześniu H.D. Moore dołączył obsługę iPhone’a do szkieletu Metasploit, co bardzo ułatwiło badanie zabezpieczeń oraz metod ataku. Łamanie zabezpieczeń iPhone’a ma na celu odblokowanie urządzenia. Niemniej ujawnianie słabych punktów telefonu ma konsekwencje dla bezpieczeństwa.

Włamania do baz danych
Raporty o włamaniach do baz danych i utracie informacji stają się codziennością. W bazach danych na całym świecie znajduje się mnóstwo poufnych danych podatnych na kradzież.

Styczeń zaczął się od swoistego trzęsienia ziemi w tej dziedzinie. Okazało się, że firma TJX Companies ujawniła 45,7 miliona numerów kart kredytowych i rekordów transakcji. Winowajcą była zła konfiguracja zabezpieczeń Wi-Fi i przestarzałe szyfrowanie WEP. Rok zamyka się podobnym zdarzeniem w Wielkiej Brytanii, gdzie w listopadzie firma HM Revenue & Customs (HMRC) utraciła 25 milionów nazwisk, adresów i numerów ubezpieczenia społecznego. Dwie płyty CD z informacjami o rodzicach, ich dzieciach oraz ich kontach bankowych zaginęły na poczcie.

Wnioski i prognozy
W 2007 roku ataki miały charakter masowy. Twórcy złośliwych aplikacji zachowują sie jak „przedsiębiorcy” szybko reagujący na zmieniające sie potrzeby rynku i popyt na konkretne kradzione informacje. Są kryminalistami, a w miarę upływu czasu ich „biznes” staje się coraz bardziej profesjonalny. Narzędzia przestępstw są produkowane profesjonalnie, a zakupione pakiety masowo generują szkodliwe oprogramowanie. Wykradzione dane są sprzedawane za pośrednictwem podziemnych serwisów aukcyjnych. To pieniądze łatwe i dobrze ukryte przed organami ścigania.

Co przyniesie 2008 rok? Więcej tego samego, czyli niebezpiecznych kodów, ale ulepszonych o jeszcze mocniejszym i bardziej precyzyjnym działaniu. Kryminaliści dysponują odpowiednimi technologiami. Kiedy masowość ataków zwiększy świadomość zagrożeń, ulepszone techniki inżynierii społecznej znowu uśpią czujność użytkowników. Rok 2008 będzie testem wytrzymałości.