Szerző: Ady Krisztián

2004. március 17. 14:43

Átfogó jelentést adott ki a Symantec az elmúlt egy év internetes veszélyforrásairól

A Symantec, az internetes biztonság kétségtelenül egyik élenjáró vállalata tegnap kiadta a Jelentés az internetes veszélyekről című tanulmányát, mely az internetes veszélyforrások egyik legátfogóbb elemzése. A világ különböző pontjain található hat védelmi műveleti központban és kilenc reagáló laboratóriumban figyelik és értékelik ki a védelmi adatokat az elemzők, hogy a védelmi környezetről átfogó képet alkothassanak. A jelentés megállapításai a Symantec Managed Security Services ügyfeleitől származó, valamint a több mint 180 országban telepített 20000 védelmi eszköz által szolgáltatott, névtelenül gyűjtött adatokon alapulnak.

A Symantec, az internetes biztonság kétségtelenül egyik élenjáró vállalata tegnap kiadta a "Jelentés az internetes veszélyekről" című tanulmányát, mely az internetes veszélyforrások egyik legátfogóbb elemzése. A világ különböző pontjain található hat védelmi műveleti központban és kilenc reagáló laboratóriumban figyelik és értékelik ki a védelmi adatokat az elemzők, hogy a védelmi környezetről átfogó képet alkothassanak. A jelentés megállapításai a Symantec Managed Security Services ügyfeleitől származó, valamint a több mint 180 országban telepített 20000 védelmi eszköz által szolgáltatott, névtelenül gyűjtött adatokon alapulnak.

A jelentés azt is vizsgálja, hogy hogyan és miért érintették a szervezetek egy részét sokkal komolyabban a támadások, mint a többit, illetve a jelenlegi irányzatok alapján milyen jövőbeli internetes veszélyforrások megjelenése várható. Emellett a jelentés a vállalatok és a magánemberek számára egyaránt hasznos, a legjobb információvédelmi módszereket is felvázolja.

"A Symantec internetes veszélyekről szóló jelentése világszerte vállalatok százainál, több tízezernyi védelmi eszközből és milliós nagyságrendű asztali gépről gyűjtött, valós adatok szakszerű elemzésén alapul" -- mondta Gail Hamilton, a Symantec világméretű szolgáltatási és segítségnyújtási ágazatát vezető alelnöke. "Ebből következik, hogy ez az egyik legpontosabb, legátfogóbb és legidőszerűbb védelmi információforrás, amely segítségével a cégek megbecsülhetik a jelenlegi és a jövőbeni támadások kockázatát, illetve enyhíthetik azokat."

Az összetett veszélyforrások előtérbe kerülése, a Windows alkotórészeinek fokozott sérülékenysége és az információrendszereket érintő súlyos sérülékenységek felfedezésének fokozódása a most kezdődött esztendőben lényeges védelmi problémák elé állítja a cégeket. 2003 második felében az összetett veszélyforrások tették ki a 10 leggyakoribb beküldés 54 százalékát. Ezek a veszélyforrások a részben a megnőtt sávszélesség és a lecsökkent várakozási idő következtében felgyorsult terjedésük folytán jóval gyorsabban tudtak kiterjedt károkat okozni.

Az egyik "legsikeresebb" féreg, a Blaster a Windows alapvető összetevőinek egyik sérülékenységét vette célba. Ezek az összetevők sokkal elterjedtebbek, mint a szerverszoftverek, amelyeket a régebbi, hálózati alapú férgek támadtak meg, ezért sokkal gyakoribbak a sérülékeny rendszerek. Az új sérülékenységek száma megállapodott, de az újonnan felfedezett sérülékenységek hatásuk, távolról lehetséges kihasználásuk és elérhetőségük alapján jóval súlyosabbak. Emellett az egyes sérülékenységek bejelentése és az azt kihasználó módszer megjelenése között eltelt idő egyre csökken.

Ez az irányzat a "nulladik napi" veszélyforrások küszöbön állását jelzi. Az ilyen veszélyforrások még be nem jelentett és javítással sem rendelkező sérülékenységeket vesznek célba, ezzel különösen nehézzé téve a megelőzést és féken tartásukat.

A támadások jellemzői

Az elemzésbe bekerült cégek mindössze egyhatoda jelzett súlyos betörést 2003 első felében. Az év második felére már a cégek fele jelezte ezt. Ez a növekedés nagyrészt az egyre "sikeresebb" férgeknek köszönhető, amelyek továbbra is a támadások leggyakoribb okozói. A támadó rendszerek közel egyharmada a Blaster nevű féreg által kihasznált sérülékenységet vette célba.

A legkomolyabb támadások a pénzügyi szolgáltatókat, az egészségügyet és az energiaszolgáltatókat érték. Mindamellett a Symantec Managed Security Services ügyfeleként eltöltött idő fokozódásával, ahogy ez már 2002-ben is történt, 2003-ban is csökkent a súlyos események aránya. Azon ügyfelek közül, akik fél évnél régebben veszik igénybe ezt a szolgáltatást, több mint 70 százalék sikeresen védett ki komoly eseményt.

Egyre gyakoribb célpont a korábbi támadások és férgek által otthagyott hátsó ajtó. A rendszer feletti uralmat a meglevő hátsó ajtókon keresztül megszerző támadók saját hátsó ajtójukat telepíthetik fel, vagy a megtámadott rendszert egy elosztott, szolgáltatást lehetetlenné tevő (DDoS) támadásban való részvételre használhatják.

2004 januárjában a Sobig.F-éhez hasonló tempóban kezdett terjedni a rendszereket egy hátsó ajtón keresztül támadhatóvá és célzott támadást lehetővé tevő MyDoom. A MyDoom-ot két új féreg követte, a Doomjuice és a Deadhat. Mind a kettő a MyDoom által hátrahagyott hátsó ajtót használja.

A sérülékenységek jellemzői

2003-ban a 2002. évinél kissé több sérülékenységet fedeztek fel. A 2002-es 2587-tel szemben számuk 2003-ban 2636 volt, azaz naponta átlag hét sérülékenységre derült fény.

A közepes súlyosságú sérülékenységek száma a 2002-es havonkénti átlagosan 98-ról átlagban 115-re nőtt 2003-ban. Emellett a 2003-ban megtalált sérülékenységek 70 százaléka könnyen kihasználhatónak minősült, szemben a 2002-es 60 százalékkal.

Az olyan sérülékenységek többsége, amelyekhez létezik a kihasználásukat lehetővé tevő program, nagyon komolynak minősült. Számuk 2002-ben 175, 2003-ban 231 volt. 2003-ban 5 százalékkal nőtt azoknak a sérülékenységeknek az aránya, amelyekhez nyilvánosan elérhető, azokat kihasználó program létezik. Azoknak a sérülékenységeknek az aránya, amelyek kihasználásához nem kell külön eszköz, 6 százalékkal nőtt 2003-ban.

A Microsoft Internet Explorer felhasználó-oldali sérülékenységeinek száma egyre nő. 2003 első felében 20, a második felében 34 sérülékenységre derült fény, ez 70 százalékos növekedést jelent. Számos ilyen sérülékenység alkalmas azon felhasználók gépének megtámadására, akik -- akár akaratukon kívül -- rosszindulatú tartalommal rendelkező webhelyeket látogatnak meg. Elsősorban azért ad ez okot az aggodalomra, mert az Internet Explorer erősen uralja a piacot.

Jelentés az internetes veszélyekről, a rosszindulatú programok jellemzői

Az összetett veszélyforrások a felelősek az év egyik igen jelentős védelmi eseményéért, amely augusztusban következett be, amikor az interneten 12 nap alatt három új, 4. kategóriába sorolt féreg jelent meg. Ezek a férgek -- a Blaster, a Welchia és a Sobig.F -- világszerte számítógépek millióit fertőzték meg és a Computer Economics becslése szerint közel 2 milliárd dollárnyi kárt okozhattak.

2003 második felében két és félszer annyi Win32 vírust és férget küldtek be, mint 2002 azonos időszakában. A 2002 második felének 687 beküldése 2003 második felére 1702-re gyarapodott. Ezek között a beküldések között szerepelt a Blaster, a Welchia, a Sobig.F és a Dumaru is. Ezekhez az új veszélyforrásokhoz kapcsolódik néhány tendencia.

Elsőként említendő, hogy az egyes sebezhető pontok bejelentése és az azt kihasználó módszer elterjedése közötti idő csökken. Másodsorban a hackerek egyre gyakrabban használnak tömörítőket a rosszindulatú programok elrejtésére. A tömörítők összenyomják és titkosítják a Windows-os végrehajtható fájlokat, emiatt jóval nehezebb azokban megtalálni a rosszindulatú programkódot.

A tíz leggyakrabban beküldött rosszindulatú programtípus közül a saját levélküldő modullal rendelkező levélbombázó férgek száma 2003 első feléhez képest 61 százalékkal nőtt. Mivel az e-maileket a rosszakaratú programkódban található, önálló modul hozza létre, és azok nem kerülnek kapcsolatba a felhasználó levelezőrendszerével, így nincs sok jele az aktív fertőzésnek. A heurisztikán alapuló észlelést használó víruselhárítók ellen tudnak állni az ilyen jellegű veszélyeknek.

2003 második felében a titkosságot és bizalmasságot veszélyeztető károkozók gyarapodtak a legnagyobb mértékben. Az év első feléhez képest számuk 519 százalékkal nőtt a 10 leggyakrabban beküldött, rosszindulatú programkód között. Míg a régebbi veszélyforrások véletlenszerűen kiválasztott dokumentumok kijuttatásával veszélyeztették a titkosságot, az újabb vírusok és összetett veszélyforrások jelszavakat, dekódoló kulcsokat és elmentett billentyűzést is kijuttatnak a számítógépről.

Jótanácsok

  • Kapcsolják ki a szükségtelen szolgáltatásokat!
  • A rendszerek hibajavításai legyenek mindig naprakészek, különösen azokon a számítógépeken, amelyeken nyilvános szolgáltatás fut és a tűzfalon át elérhetőek, például a HTTP, FTP, levél és DNS szolgáltatás!
  • Frissítsék a vírusadatbázist! A legfrissebb vírusadatbázis feltelepítése véd a legújabb, "vadon tenyésző" vírusok ellen.
  • Szabályozzák a jelszavak használatát!
  • A levelező szervereket úgy állítsák be, hogy azok megállítsák vagy eltávolítsák a vírusok terjedésében általános szerepet játszó csatolmányt, így a .vbs, .bat, .exe, .pif és .scr kiterjesztésű fájlokat tartalmazó leveleket!
  • A fertőzött számítógépeket gyorsan szigeteljék el, hogy ezzel megakadályozzák további gépek veszélyeztetését! Alaposan elemezzék a rendszert és megbízható adathordozóról állítsák helyre a számítógépeket!
  • Oktassák ki az alkalmazottakat arra, hogy nem várt csatolmányokat ne nyissanak meg! Amíg nem ellenőrizték, hogy fertőzött-e egy internetről letöltött program, addig ne indítsák el azt!
  • Gondoskodjanak arról, hogy legyen vészhelyzeti eljárásuk!
  • A vezetőség legyen tisztában a védelemhez szükséges költségekkel!
  • Ellenőrizzük a védelmet, hogy biztosak lehessünk a megfelelő szabályozás működése felől!

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról