Veszélyek és kockázatok. Melyek voltak a 2009-es esztendő legfontosabb, trend értékű jelenségei, hírei az informatikai biztonság területén? Beszámolónkban erre a kérdésre keressük a választ.

  Veszélyek és kockázatok. Melyek voltak a 2009-es esztendő legfontosabb, trend értékű jelenségei, hírei az informatikai biztonság területén? Beszámolónkban erre a kérdésre keressük a választ.

1. Válság: veszély és vigasz

A mögöttünk álló évben nem telt el nap, hogy ilyen vagy olyan összefüggésben ne hallottunk volna a gazdasági válságról, mely az egész világot megrengette, s amely életünk minden területére kihatott. Számos bizonyítékunk van arra, hogy az IT biztonság sem kivétel. Talán legtalálóbban a tavasszal Budapesten is átvonult IDC IT Security Roadshow egyik előadója jellemezte a helyzetet: "Ha az idő szűkös, több lesz a bűnös" ("In tight times, there will be more crimes").

Bizony, a számok aggasztóak. Sosem volt ilyen veszedelmes hely a világháló, mint ma — figyelmeztetett az Adathalászat-ellenes Munkacsoport (Anti-Phishing Working Group, APWG). A szervezet adatai szerint tavaly január és június között csaknem meghatszorozódott (585 százalékkal nőtt) a hamis vírusirtók száma. A banki trójaiak — vagyis a pénzintézeti site-ok hozzáférési adatainak megszerzésére tervezett kártevők — száma 186 százalékkal szökött fel. A 2007 áprilisi (közel 56 ezres) rekord óta sosem leselkedett ennyi adathalász site a weben, mint 2009-ben: az APWG-nél az első félévben több mint 49 ezret vettek lajstromba. Csúcsot döntött az "eltérített" cégek (márkák) száma is. A fertőzött gépek szomorú tábora a 2008 utolsó negyedévétől 2009 júniusáig 66 százalékkal bővült. Tavaly az első félév végén a vizsgált számítógépek több mint fele (54 százaléka) — csaknem 12 millió darab — bizonyult fertőzöttnek.

Hanyatló gazdasági viszonyok között a szellemi tulajdon különösen nagy veszélyben forog — állapították meg tanulmányukban az amerikai Purdue Egyetem CERIAS biztonsági kutatóközpontjának munkatársai. Az, aki a munkahelye elvesztésétől fél, vagy már fel is mondtak neki, könnyen kísértésbe esik némi pénz reményében.

Évről évre biztonsági közvélemény-kutatást végez a KPMG. A 2009-es E-bűnügyi felmérés (E-crime Survey) 307 magánvállalatra, kormányzati, illetve bűnüldöző szervre terjedt ki. Nos, a válaszadók kétharmada szerint a recesszió miatt munka nélkül maradt informatikai szakemberek komolyan csábításba eshetnek, hogy az alvilághoz csatlakozzanak.

Nemcsak a magánembereket és a pénzintézeteket veszik célba a hackerek. Lehet politikai céljuk is. Erre gyanakodtak a nyomozók, mikor július elején elosztott szolgáltatásmegtagadási (DDOS) támadás ért több mint két tucatnyi kiemelkedően fontos webhelyet az Egyesült Államokban és Dél-Koreában. Az amerikai függetlenség ünnepén, július 4-én indult hadművelet számos site-ot teljesen lebénított, másokat pedig erősen lelassított.  A nyilvánosságra került 27 célpont között ott volt a Fehér Ház, az amerikai pénzügy- és közlekedési minisztérium, valamint a titkosszolgálat site-ja, a fogyasztóvédelmi felügyelet (Federal Trade Commission, FTC), a New York-i és a Nasdaq tőzsde webhelye, de a Yahoo pénzügyi rovata és a Washington Post online kiadása is. Dél-Koreában legalább 11 jelentős webhely lassult le vagy omlott össze.

Nem meglepő, hogy mindkét ország komoly válaszlépésekre határozta el magát a növekvő fenyegetésekkel szemben. Janet Napolitano amerikai belbiztonsági miniszter közölte: ezer informatikai biztonsági szakembert vehetnek fel az Egyesült Államok kibervédelmének erősítésére. Dél-Korea pedig 2010-ben 3 ezer "kiberseriff" kiképzését tervezik, hogy így támogassák a cégek védekezését.

Az IDC korábban említett nemzetközi informatikai biztonsági vándorkonferenciájának is a válság állt a középpontjában. A rendezvény a "Biztonsági kihívások az új gazdasági korszak hajnalán" címet viselte. Láthatólag a szervezők már a konferencia címének megválasztásával is jelezni akarták: milyen gyorsan kell reagálnia az ágazatnak a környezet változásaira. Talán az olvasó megbocsátja, ha a VirusBuster jelzés értékűnek tekintette azt is, hogy a IDC Hungary a roadshow moderátorául Szappanos Gábort, a kft. Víruslaboratóriumának vezetőjét kérte fel.

Megdöbbentő, ám az IDC becslése szerint mintegy 50 ezer magyar kisvállalkozás még csak vírusellenőrzőt sem alkalmaz. Márpedig a recesszió miatt különösen igaz, hogy ha nem ügyelünk a biztonságra, azzal csak még inkább felbátorítjuk a támadókat, akik amúgy is kihasználják, hogy a Web 2.0-s site-ok és a terjedő mobil munkaállomások sebezhetőbbek az előző generációs megoldásoknál. Mivel pedig válság idején a meglévő ügyfelek felértékelődnek, s még fontosabb a hatékony munka, az adatok elvesztése minden korábbinál nagyobb károkat okozhat a cégeknek. Végül, de nem utolsósorban: ha egy ügyviteli rendszer nem felel meg a törvényi előírásoknak, s emiatt bírságot vetnek ki, az a mai viszonyok között könnyen végzetes lehet a cégre nézve.

Az IDC hat fő trendet jósolt a 2009-es évre:

  • A válság kevésbé érinti a cégek biztonsági költségvetését, mint más területeket.
  • A beruházások elsősorban a kockázatcsökkentést és a jogszabályi megfelelést veszik célba.
  • Nő a felvásárlások száma az ágazatban; felgyorsul a piaci konszolidáció.
  • Termékek helyett inkább szolgáltatásokkal igyekeznek gondoskodni biztonságukról a cégek.
  • Az otthoni felhasználók piacán a házirend alapú, átfogó végponti vezérlés kerül előtérbe.
  • Nyilvánosságra kerülnek a virtualizált környezetek első biztonsági incidensei.

Nos, ami az fenti pontok közül az elsőt illeti, azzal a jelek szerint más piackutató társaságok is egyetértettek. A kormányzati piac tanulmányozására szakosodott Input úgy becsüli: 2009-ben 7,9 milliárd dollár értékben rendelt az Egyesült Államok szövetségi kormánya IT biztonsági termékeket és szolgáltatásokat, s ez az összeg 2014-re már eléri a 11,7 milliárd dollárt. A következő esztendőkben várhatóan átlagosan évi 8,1 százalékkal nő majd az amerikai kormány IT biztonsági költségvetése, miközben az általános informatikai kiadások csak évi 3,5 százalékos ütemben nőnek majd.

Hasonló eredményekre számít a Gartner a világpiacot illetően. Adataik szerint tavaly világszerte 14,5 milliárd dollár értékű biztonsági szoftver talál gazdára — 8 százalékkal több, mint 2008-ban. Idén az egészségesebbé váló gazdasági környezetben felgyorsul a növekedés — jósolják a kutatók –: az értékesítés volumene eléri a 16,3 milliárd dollárt, ami éves szinten 13 százalékos bővülést jelent.

Ruggero Contu, a Gartner elemzője azzal indokolta az előrejelzést, hogy a biztonság az IT-nek az a területe, amelyen a vállalatok recesszió idején sem merik lefaragni a költségvetést. "Középtávon a legnagyobb növekedésre a szolgáltatásként nyújtott szoftverek (software-as-a-service, SaaS), a készülék alapú megoldások és a kkv-k piacán számítunk. A kis cégek most igyekeznek behozni biztonsági lemaradásukat, így a nagyvállalatokhoz képest költségvetésük viszonylag nagyobb részét fordítják erre a célra" — tette hozzá a szakember.

"Örömmel mondhatom, hogy Magyarország is követi a világpiaci trendet — összegezte a VirusBuster tapasztalatait Bozsó Julianna ügyvezető. — A válság ellenére nem szűkült 2009-ben a hazai IT biztonsági piac. Ellenkezőleg: mérsékelt bővülésről számolhatunk be, s 2010-re már komolyabb növekedésre számítunk. Jóllehet az egyéni felhasználók kevesebbet költöttek idén vírus- és spamvédelemre, a cégvezetők többsége arra az álláspontra helyezkedett, hogy a biztonságon nem szabad takarékoskodni."


2. A Conficker-sztori

Tavaly ismét bebizonyosodott: nincs szükség új kártevőre ahhoz, hogy világszerte komoly járvány alakuljon ki. Vegyük csak a 2009-es év talán legelhíresültebb kártevőjét, a Conficker férget! Ez a rosszindulatú program egy olyan rést támad, amelyet a Microsoft 2008 októberében soron kívül befoltozott. Mégis több millió gépet tudott megfertőzni, egyszerűen azért, mert felhasználók tömegei nem telepítették fel a hibát javító frissítést. Kutatók még a féreg április 1-jei, nagy csinnadrattával beharangozott aktivizálódása után is azt találták, hogy a PC-k közel ötödéről hiányzott a Conficker-veszélyt elhárító MS08-067-es folt.

Így aztán nem csoda, hogy — jóllehet 2008 novemberében bukkant fel –, mégis a tavalyi év legnagyobb port kavart fenyegetése a Conficker féreg volt. A kártevő kilépett a szaklapok hasábjairól, s márciusban már napilapok címoldalát is meghódította. A Shadowserver Alapítvány — biztonsági szakemberek nemzetközi önkéntes csapata — adatai szerint 12 hónap leforgása alatt több mint 7 millió gépet fertőzött meg világszerte. Ezzel a féreg az eddigi egyik legnagyobb botnet hozta létre.

Neves szervezetek is áldozatul estek a fertőzésnek. Nagy-Britanniában jutott a Confickerből a parlamentbe, a védelmi minisztériumba, sőt, néhány hadihajó fedélzeti számítógépére is. Németországban a Bundeswehr ugyancsak jelentett fertőzést. A féreg jelentőségét jól mutatja, hogy — amire évek óta nem volt példa — a Microsoft negyedmillió dolláros jutalmat ajánlott fel annak, aki feladja a kártevő szerzőit.

A számítástechnikai ágazat cégei külön munkacsoportot hoztak létre a fenyegetés tanulmányozására és a védekezés szervezésére. A Conficker Munkacsoport (Conficker Working Group) szerint a fertőzött gépek jó részén illegális Windows fut, ezért nem töltődik le rájuk a Microsoft rosszindulatú szoftvert eltávolító eszköze, amely pedig orvosolná a bajt.

Különösen nagy riadalmat okozott a kártevő márciusban felfedezett "D" nemzedéke. A Conficker.D csak a korábbi változattal megfertőzött gépekre települ fel. Szakemberek, majd nem szakemberek azért kongatták meg a vészharangokat, mert kiderült: a féreg április 1-jén megpróbál az interneten keresztül utasításokat kérni.

Szerencsére a világvége elmaradt, ám a féreg tovább terjedt. A Shadowserver statisztikái szerint Afrikában és Dél-Amerikában különösen magas a Conficker által behálózott gépek aránya. Úgy tűnik: a fejlődő országok afféle "kórokozó-gettók" lettek.

Érdekes módon akármilyen nagy botnetet is épített ki a Conficker, alkotói eddig szinte egyáltalán nem használták ezt a hatalmas, uralmuk alá hajtott hálózatot. Hogy miért, azt csak találgatni lehet. A Conficker Munkacsoport egyes tagjai úgy vélik: a szerző(k) beijedt(ek). A "mű" túl jól sikerült, a bűnözők nem akarnak még több figyelmet magukra vonni. Persze az is lehet, hogy a Conficker irányítói valódi céljukat — legyen az jövedelemszerzés vagy bármi más — csak később akarják megvalósítani. Tán abban bíznak, hogy a kutatók és az IT-sek az idő múltával elengedik magukat. Mindenesetre az idő a Conficker ellen dolgozik. A féreg ma már könnyen felismerhető. A védelem két pillére a Microsoft MS08-067-es biztonsági frissítésének telepítése és a naprakész vírusadatbázis.

Általános tanulság: hónapokkal, sőt akár évekkel egy-egy Microsoft biztonság frissítés megjelenése után is sikerrel támadhatják hackerek a szoftveróriás által betömni kívánt réseket, mivel a felhasználók az elemi biztonsági rendszabályokat sem tartják be. Egy felmérésben kutatók négy, 2008-ban kibocsátott, "kritikus" minősítésű Microsoft biztonsági frissítés meglétét vizsgálták. Több mint 80 millió gép átfésülése alapján azt találták, hogy a PC-k 5-20 százalékán semmiféle biztonsági frissítést nem végeznek, azaz nem teszik fel a Microsoft havi rendszerességgel kibocsátott javítócsomagjait sem.


3. Egységben az erő

Miközben aktivizálódnak a kiberbűnözők, a védelem bajnokai is igyekeztek szorosabbra vonni szövetségüket.

Egy márciusi hír szerint Kuala Lumpur közelében megnyitották az IMPACT (International Multilateral Partnership Against Cyber Threats, kb. Kiberfenyegetés Elleni Többoldalú Nemzetközi Együttműködési Szervezet) központját. Az IMPACT az első olyan globális kezdeményezés, amelyben a kormányzati és a magánszektor fog össze az informatikai terrorizmus ellen. Az új létesítmény otthont ad a Nemzetközi Távközlési Unió (ITU) Globális Kiberbiztonsági Programjának (Global Cybersecurity Agenda, GCA) is.

Júniusban Amszterdamban tartott konferenciát az Üzenetvisszaélés-ellenes Munkacsoport (Messaging Anti-Abuse Working Group, MAAWG). A 2003-ban alapított szervezetben olyan óriások dolgoznak együtt, mint az AT&T, a Yahoo, a Comcast vagy a Verizon. A júniusi volt az eddigi legnagyobb európai konferenciájuk: 19 országból 270 résztvevő érkezett az alkalomra a holland nagyvárosba, köztük az amerikai szövetségi fogyasztóvédelmi hatóság (az FTC), az FBI és a Europol képviselői.

Jelentős előrelépéseket hoztak a rosszindulatú programok elleni küzdelemben az AMTSO (Anti-Malware Testing Standards Organization, kb. Antivírus Tesztszabványosítási Szervezet) tavalyi ülései is. Az IT biztonsági ágazat vezető cégei azzal a céllal alapították meg 2008 elején az AMTSO-t, hogy világszerte egységes, szigorú irányelvekre alapozzák az antivírus szoftverek tesztelését. A VirusBuster mellett az alapító tagok között volt az AVG, az Avira, a Bit9, a BitDefender, a Dr. Web, az Eset, az F-Secure, a G Data, a Hispasec, az IBM, a Kaspersky, a McAfee, a Microsoft, a Norman, a Panda, a PC Tools, a Sana, a Secure Computing, a Sophos, a Symantec és a Trend Micro — magyarázza Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője, a nemzetközi társulás igazgatótanácsának tagja.

Május elején néhány napig vitathatlanul Budapest volt a világ informatikai biztonsági fővárosa. A világ legkiválóbb vírusszakértői érkeztek hozzánk a 3. CARO Workshopra, illetve a rögtön utána tartott AMTSO-tanácskozásra. Mindkét esemény házigazdája a VirusBuster volt.

A CARO (Computer Antivirus Researchers' Organization) a számítógépes antivírus kutatók nemzetközi szervezete. Sorrendben immár harmadik műhelykonferenciájára mintegy 110 szakértő – az ágazat krémje – ült össze a Radisson SAS Béke Hotelben, hogy áttekintsék a terület legfontosabb fejleményeit, trendjeit. Világméretű influenza-riadó ide vagy oda, nem kevesebb, mint 26 antivírus cég és nyolc független szervezet képviseltette magát. A konferenciát, melyen Szappanos Gábor elnökölt, a rangos Virus Bulletin két volt főszerkesztője is megtisztelte jelenlétével.

A budapesti AMTSO ülés talán legfontosabb eredménye az a bejelentés volt, miszerint a szervezet elemezni kívánja a különböző helyeken megjelenő vírusirtó-teszteket. A tesztekben alkalmazott módszertant egybevetik az AMTSO tesztelési szabványaival, s az értékelést közzéteszik. A kezdeményezés fő célja, hogy a fogyasztók világos képet kapjanak arról: mennyire pontos és megbízható egy-egy teszt. A tagok azt remélik, hogy ennek hatására világszerte javul majd a vírusirtók tesztelésének minősége.

Nemcsak a szakemberek körében van egységes fellépésre szükség. Legalább ennyire fontos a lakosság széles köreinek felvilágosítása, a tudatosság javítása. Nálunk egy nap telik évente számítógépeink védelme jegyében, az Informatikai Biztonság Napja, az ITBN, melyet a korábbiakhoz hasonlóan idén is szeptember végén rendeztek meg. Ennek is nagyon örülnünk kell — a nagy érdeklődésnek különösen –, de megjegyezzük: a tengerentúlon harmincszor, a Csatornán túl pedig hétszer ennyi időn át kampányolnak eme nagyon is aktuális cél érdekében. Október volt Amerikában a kiberbiztonsági tudatosság hónapja, s ugyancsak októberben Nagy-Britanniában egy hetet a személyazonossági csalások megelőzésének szenteltek. Magyarország kicsi piac ugyan, de talán nálunk is meg lehetne próbálkozni hosszabb időtartamú kampánnyal.


4. Levélözön és adathalászat

Továbbra is a számítógépes bűnözők egyik legkedveltebb és – sajnos – legeredményesebb eszköze a spam. Jellemző, hogy alig pár órával Michael Jackson nagy port felvert tavalyi halála után már megjelent a nevével visszaélő levélszemét. Voltak üzenetek, amelyek egyszerűen arra igyekeztek rávenni a címzettet, hogy válaszoljon – régi trükk ez az érvényes, használatban lévő e-mail címek begyűjtésére. Ez azonban még a legártatlanabb volt a popsztár halálából pénzt kifacsarni próbáló spamfajták közül. Megjelentek olyan üzenetek is, amelyek "eddig még sosem látott Jackson-videókra vagy fotókra" mutató linkkel csábították a felhasználókat. Aki lépre ment, azt a megnyitott, preparált site-on trójai letöltő fogadta.

Közismert: nem kis részét teszik ki a kéretlen levelek forgalmának az adathalász (phishing) üzenetek, amelyek szerzői a címzettek személyi adatait, bankszámla-hozzáférését igyekeznek csalárd módon megszerezni.

A Gartner piackutató társaság világviszonylatban 2,8 milliárd dollárra teszi az adathalászok által okozott kárt. Becslésük szerint egy áldozat 2005-ben 257 dollárt, míg egy évvel később már 1244 dollárt bukott. A Trusteer biztonságtechnikai cég egymillió banki ügyfélre vetítve egy év alatt 2,4-9,4 millió dollárra teszi a veszteséget.

A Bitkom, a német informatikai, távközlési és új média cégek szövetsége úgy becsülte: 2009-ben az egy esztendővel korábbihoz képest másfélszeresére nőtt az adathalász esetek száma. Nagy-Britanniában egy év alatt a felnőtt lakosság 12 százaléka esett online személyazonosság-lopás áldozatául — állapította meg a brit YouGov piackutató cég, amely szerint a 12 hónap kármérlege 2,6 milliárd font körül van.

Hazánkban sem ismeretlen ez a műfaj. A második negyedévben különösen az MKB Bankra járt rá a rúd. Ismeretlen tettesek áprilisban és májusban egymás után három adathalász-rohamot indítottak a pénzintézet ügyfelei ellen. Később az OTP Bank ügyfeleinek azonosítóira vadászó levelet fogott el a VirusBuster.

Szerencsére mindegyik esetben meglehetősen átlátszó trükkről volt szó, amelynek remélhetőleg nagyon kevesen ültek fel. A bűnözők igen rossz magyarsággal fogalmazott – nyilván gépi fordítással készült – üzenettel igyekeztek lépre csalni a címzetteket.

A pénzintézetek mindig felhívják ügyfeleik figyelmét: sosem kérnek telefonon vagy e-mailben bizalmas, személyes, illetve azonosító adatokat. Ugyancsak hasznos tanács: sose próbáljunk meg banki internetes oldalra e-mailben kapott linkre kattintva belépni, s azonosító adatainkat kizárólag a bank bejelentkező oldalára írjuk be. Mindenesetre az esetek megint megerősítik, milyen fontos, hogy jogtiszta, naprakészen frissített szoftverrel, illetve vírus-adatbázissal dolgozzunk.

5. Folt hátán folt

Nem ott védekeznek leginkább a cégek, ahol kellene — állítja a SANS Institute tanulmánya. A szervezetek általában az operációs rendszerek frissítésére koncentrálnak, pedig a webhelyek réseinek és a kliens oldali sérülékenységeknek a kiaknázása sokkal nagyobb veszélyt jelent — szögezi le a "legnagyobb kiberkockázatokról" szóló jelentés. A rosszul megválasztott védekezési súlypontok miatt a cégek jobban ki vannak szolgáltatva a támadásoknak és fertőzéseknek.

Tíz támadásból hat a webes alkalmazások ellen irányul. A webhelyek sérülékenységeit kiaknázó hackerek előszeretettel kovácsolnak egyébként megbízhatónak ismert site-okból rosszindulatú szervert. A Microsoft Office, az Adobe Flash és más alkalmazások ugyancsak gyakran kerülnek a célkeresztbe. Tovább rontja a helyzetet, hogy a cégek nem ritkán kétszer annyit késlekednek az alkalmazások biztonsági frissítésével, mint az operációs rendszerekével. 

Vannak rések, amelyeket a cégek akár két éven át is tárva-nyitva hagynak, hiába bocsátotta ki a gyártó a rájuk való foltot. Ez a — mind hosszabbra nyúló — késedelem a hackerek malmára hajtja a vizet, hiszen több idejük van egy-egy rés elleni támadó kód kifejlesztésére, hangsúlyozza a SANS Institute.

Pedig foltból nincs hiány. Minden hónap második keddje "foltozó kedd", azaz ekkor jelennek meg a Microsoft biztonsági frissítései. Alábbi táblázatunkban a tavalyi javítócsomagokról nyújtunk gyors áttekintést.

Dátum

Javítócsomagok száma (minősítése)

Érintett szoftverek

2009.01.13.

1

("kritikus" Windows 2000-re, XPre és Server 2003-ra, "mérsékelten fontos" Windows Vistára és Server 2008-ra)

Windows

2009.02.10.

4

(2 "kritikus", 2 "fontos")

Internet Explorer, Exchange Server, SQL Server, Visio

2009.03.10.

3

(1 "kritikus", 2 "fontos")

Windows

2009.04.14.

8

(5 "kritikus", 2 "fontos", 1 "mérsékelten fontos")

Windows, Office, Internet Explorer, Forefront Edge Security

2009.05.12.

1

(1 "kritikus")

Office

2009.06.09.

10

(6 "kritikus", 3 "fontos", 1 "mérsékelten fontos")

Windows, Office, Internet Explorer

2009.07.14.

8

(4 "kritikus", 3 "fontos", 1 "mérsékelten fontos"; egy javítócsomagot soron kívül bocsátott ki a Microsoft)

Windows, Office, Internet Explorer, Virtual PC, Virtual Server, ISA Server, Visual Studio

2009.08.11.

9

(5 "kritikus", 4 "fontos")

Windows, Office, ISA Server, Visual Studio, BizTalk Server, Remote Desktop Connection Client for Mac, .NET Framework

2009.09.08.

5

(5 "kritikus")

Windows

2009.10.13.

13

(8 "kritikus", 5 "fontos")

Windows, Office, Internet Explorer, .NET Framework, Silverlight, SQL Server,

Developer Tools, Forefront

2009.11.10.

6

(3 "kritikus", 3 "fontos")

Windows, Office

2009.12.08.

6

(3 "kritikus", 3 "fontos")

Windows, Office

Miután hónapokon át több sérülékenységet is orvosolnia kellett népszerű szoftverein az Adobe-nak, tavaly nyáron a cég elérkezettnek látta az időt arra, hogy ne alkalmanként, hanem rendszeresen bocsásson ki javítócsomagokat. Ezeket az ügyfelek kényelme érdekében a Microsoft aktuális foltozó keddjén teszik közzé. Nos, az első ilyen alkalom június 9-én, a második október 13-án volt. Az előbbi kedden 13, az utóbbin 29 rést tömött be PDF-programjain — a Readeren, illetve az Acrobaton — a vállalat.

6. Ostromlott okostelefonok

Nemcsak a számítógépek, netán bankautomaták vannak veszélyben. A számítógépes bűnözők az okostelefonokra is növekvő érdeklődéssel tekintenek. Nem kisebb személyiség szólt erről egy konferencián, mint Rich Cannings, a Google Android biztonsági csapat vezetője. "Az okostelefon operációs rendszerek kiemelt biztonsági célpontokká válnak. Az a támadó, aki okostelefont vesz célba, már ma is több millió áldozatra sújthat le, s ez a szám hamarosan nőni fog. A magam részéről úgy gondolom: a rosszindulatú programok szerzői számára ez maga lesz a Kánaán" — jelentette ki a szakember.

Nem Cannings az első, aki ilyen aggályokat fogalmaz meg. A BlackBerryk, az iPhone-ok, az Android telefonok és a Windows Mobile alapú eszközök terjedésének mondhatni szükségszerű velejárója, hogy magukra vonzzák a támadók, spammerek figyelmét. Természetes célpontokká teszi ezeket a készülékeket a nagy tárkapacitás, az, hogy valódi alkalmazások futnak rajtuk, no meg hogy egyes mobil operációs rendszerek gyengébben állnak biztonság dolgában.

Különösen az Apple slágerré vált iPhone-jával foglalkoznak előszeretettel a hackerek. Sokat lehetett olvasni például a készülék SMS-sérülékenységéről, melyet egy speciális SMS üzenettel kiaknázó esetleges támadó magához ragadhatta a címzett telefonjának vezérlését: rosszindulatú kódot telepíthetett a készülékre, spamterjesztésre vagy további támadásokra használhatta azt. Augusztus elején azután az almás cég szoftverfrissítéssel kijavította ezt a hibát.

Nem sokkal később, novemberben először jelentettek élesben terjedő férget, amely az Apple okostelefonjára specializálódott. Eredetileg Ausztráliában bukkant fel a kártevő, ám világszerte elterjedt, Ash, ikee, ikex, ike_x vagy @ikeeex néven. Kizárólag feltört iPhone-t volt képes megfertőzni, vagyis olyat, amely felhasználójának lehetővé teszi az Apple hivatalos alkalmazás-áruházának, az App Store-nak a megkerülését, más szóval a nem engedélyezett, akár kalózprogramok futtatását. A féreg a háttérképet egy nyolcvanas évekbeli rockcsillag fotójára cserélte le, s üzenetben közölte jelenlétét.

Röviddel az ikee felbukkanása után már támadott — mégpedig ugyanazon a biztonsági résen — egy veszedelmesebb, iPhone/Privacy.A-nak keresztelt féreg. Ez a kártevő a telefontulajdonos minden személyes adatát leszívta: e-mailt, címeket, SMS-eket, naptárt, fotót, zenét, videót, sőt, még az iPhone alkalmazások által rögzített információkat is. Ráadásul a tulajdonos mindebből mit sem vett észre, mert — az ikee-vel ellentétben — a féreg semmi nyomot nem hagyott maga után.

Mindez felhívja a figyelmet arra: milyen veszélyes ellenőrizetlen, jogosulatlan kódot futtatni mobilunkon. Kevés feltört iPhone tulajdonosa van tudatában a kockázatnak. Ugyanúgy, ahogy nemcsak tilos, de veszélyes is egy számítógépen lopott operációs rendszert futtatni, a telefonok biztonsági mechanizmusát sem célszerű megkerülni — már csak azért sem, mert a készülékeken sok bizalmas, személyes adatot tárolunk.

Persze más módon is lépre csalhatják a mobilozókat a számítógépes bűnözők. Októberben például érdekes SMS-t fogott el a VirusBuster. Az angol szöveget egy bulgáriai számról küldték egy itthoni készülékre, s magyar fordítása így hangzott: "Gratulálunk! Ön egymillió fontot nyert az o2 mobil lottójátékán. Nyereményét kérje e-mailben — írjon Dr. Matt Westnek, a [drmatwest_kukac_live_com] címre!"

Ha valaki az összeget látva oly mértékben elvesztette a józan eszét, hogy azt hitte: a nyeremény csakugyan létezik, az mindenképp rosszul járhatott. Először is azért, mert csalódnia kellett. De történhetett ennél rosszabb is. Ha mondjuk, megpróbálja felhívni a küldő számot, lehet, hogy több árirányításon keresztül valami méregdrága fizetős szolgáltatásnál landol. Ha ír "Dr. West"-nek, lehet, hogy válaszul arra kérik: a nyeremény átvételének előkészítéseképpen utaljon át egy kisebb összeget egy megadott számlára. Vagy csak egyszerűen felkerül "Dr. West" címlistájára, s így bőséggel dől hozzá mindenféle kéretlen levél — akár vírusos csatolmányokkal.

A VirusBuster munkatársai kis nyomozással kiderítették: az SMS-hullám, mely a magyar mobil előfizetőket is elérte, Indiából indult. Az ázsiai ország vezető gazdasági napilapja, a Business Standard már hónapokkal korábban meglehetősen terjedelmes cikket szentelt hasonló üzeneteknek.

Mintegy három évvel ezelőtt jelent meg a hangot (mobil és internetes telefóniát), SMS-t és hagyományos e-mailt ötvöző informatikai támadás, amely azóta annyira harapódzott, hogy önálló nevet is kapott: vishing. A szó az angol voice (hang) és phishing (adathalászat) szavak összevonásából származik. A bűnözők azért vetik be a technikát, hogy különféle — lehetőleg minél több — adatot szerezzenek be áldozataiktól, vagyis a címzettektől.

7. Magyar siker a Microsoftnál

Július nagy magyar sikert hozott az informatikai biztonság területén: a Microsoft megújította több éve fennálló licencszerződését a VirusBusterrel. A kemény verseny ellenére a magyar cég meg tudta őrizni helyét a Microsoft antivírusmotor-beszállítói között. Így a szoftveróriás Forefront Protection for Exchange Servert és Forefront Protection for SharePointot használó ügyfeleit világszerte magyar megoldás is védi a kártevők, az internetes fenyegetések ellen. A Forefront üzleti biztonsági termékcsaládba a Microsoft saját fejlesztése mellett csak négy cég antivírus motorja kerül be: az Authentiumé, a Kasperskyé, a Normané és a VirusBusteré.

Minek köszönhette a magyar vállalat ezt a világraszóló eredményt? Jim Molini, a Microsoft vezető programmenedzsere így nyilatkozott: "Mint korábban, a VirusBuster ma is remek [IT] biztonsági partnerünk. A cég évek során át bizonyította, hogy megbízható technológiát nyújt, olyat, amely kielégíti szigorú minőségi és támogatási követelményeinket. A VirusBuster mindig jól szerepel a független teszteken, s versenytársai többségénél hamarabb jelentkezett 64 bites támogatással. Arra számítunk, hogy következő generációs Forefront szerver biztonsági termékeink révén ügyfeleink élni fognak ezzel a technológiával." Chris Marando, a Microsoft Forefront fejlesztőcsapatának tagja hozzátette: "Technikai szakemberként úgy látom, hogy a VirusBuster folyamatosan lépést tart a technológia fejlődésével, s rendkívül gyorsan javítja ki az esetleges hibákat. Ez nagy segítség az integrációs és karbantartási munkában."

8. Kártevők és százalékok

Éves áttekintésünk végén vessünk pillantást a kártevő-statisztikákra! Melyek voltak a leggyakoribb rosszindulatú programok a hazai gépeken? Nos, a VirusBuster folyamatosan nyilvántartást vezet az észlelt károkozókról. A cég szakemberei kiértékelik a cég házon belüli, illetve különböző helyeken működtetett levelezésvédő rendszereinek fogását. Az adatokból hónapról hónapra toplistát készítenek, s ezek a havi statisztikák a cég honlapján is megjelennek (http://www.virusbuster.hu/labor/virus-toplista). Következő táblázatunkban a 2009-es év toplistáit fogtuk egybe, a kórokozók ábécérendjében.

A hosszú listából Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője kiemeli a vírusfertőzéssel riogató, hamis vírusirtót letöltő trójai programokat. Ilyen a Trojan.DL.FraudLoad.ONN, a Trojan.Fraudload.HEY vagy a Trojan.DL.Murlo.BJJ-t. Mit csinál egy hamis vírusirtó? A gép megtisztításával kecsegtet, ám valójában vagy semmit nem végez — ez a jobbik eset –, vagy valamilyen kártékony tevékenységbe fog. Akárhogy is, készítői pénzt kérnek érte — vagyis a trójaiak egy csalárd üzleti vállalkozás eszközei.

Maguk a trójaiak e-mail csatolmányként érkeznek. A kéretlen levelek feladói valamilyen hasznos állománynak — például megrendelés visszaigazolásának — álcázzák őket, ha azonban megnyitjuk a csatolmányt, már meg is fertőződtünk.

Jól jelzi, milyen sokan ülnek fel a fertőzéssel riogató, vírusirtással hitegető hacker-kampányoknak, hogy decemberben az FBI is szükségét látta annak, hogy tájékoztatót adjon ki a témáról. Az anyagot a hivatal internetes bűncselekmények bejelentésére létesített központja (Internet Crime Complain Centre (IC3) tette közzé. Ebben a hatóság figyelmeztet: akármilyen hitelesnek látszik is a képernyőnkön felbukkanó riasztás, nem szabad hinnünk neki, akkor sem, ha ráadásul látszólag valós idejű vírusellenőrzés is beindul a gépen.

Nem véletlenül hívják ezeket a bűnözők által szerkesztett programokat angolul scareware-nek, azaz rémítő-szoftvernek. A hacker célja, hogy jól ráijesszen a felhasználóra, s ezzel rávegye a felkínált "vírusirtó" letöltésére. Aki azonban rákattint a felkínált linkre, pórul jár.

Az FBI becslése szerint az ijesztgető számítógépes bűnözők által eddig okozott kár eléri a 150 millió dollárt. A weben közzétett anyag arra inti a felhasználókat: mindig telepítsék az operációs rendszerükhöz kibocsátott javítócsomagokat, tartsák naprakészen biztonsági szoftverüket, s legyenek tisztában a valódi vírusirtók nevével.

De térjünk vissza még táblázatunkhoz! Ugyancsak fontos trendet képviselnek a listában az úgynevezett botnet kártevők, mint a Backdoor.VanBot.BBW, a Backdoor.VanBot.BBX vagy a Worm.SdBot.GAP. A botnet szó a "robot network" (= robothálózat) angol kifejezés összevonásával született. Jelentése: bűnözők által ellenőrzött gépek hálózata. A hackerek épp az említett kártevők — rosszindulatú programok — segítségével szervezik a PC-ket akár sok országra kiterjedő rendszerbe. Persze az áldozat mit sem tud arról, hogy gépe számítógépes bűnözők eszközévé vált — nem véletlenül nevezik az ilyen "tudtán kívül" beszervezett PC-t zombinak. Mellesleg: sokan hajlamosak legyinteni, ha arról beszélnek nekik: lehet, hogy zombi a gépük. "Mit számít? Én tudok dolgozni, a többi meg nem érdekel" — mondják. Pedig a botnet bűncselekmény eszköze lehet, s előfordulhat, hogy a nemtörődöm felhasználó ajtaján egyszer csak kopogtat a rendőrség…

Napjaink elterjedtebb kártevőit alkotóik weboldalakon keresztül (is) folyamatosan frissítik. A kártevők felismerésének biztosítása érdekében más víruslaborokhoz hasonlóan a VirusBuster is nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt a cég természetesen csak generikus felismerési módszerekkel kezeli őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit. A VirusBuster adatai azt mutatják, hogy a fő terjesztési pontok rendszeresen ugyanazok: az Egyesült Államok, Kína és a szovjet utódállamok.

Most pedig — beszámolónk lezárásaként — következzék a kártevők aktivitását mutató táblázat!

 Kártevő / Részesedés (%)

2009

január

február

március

április

május

június

július

augusztus

szeptember

október

november

december

Backdoor.Bandok.GT

                   

3,24

18,06

Backdoor.Bredolab.GX

             

2,67

       

Backdoor.Codbot.JF

       

2,42

             

Backdoor.IRCBot.AAWX

             

1,73

 

0,96

4,78

 

Backdoor.IRCBot.AAXD

                   

1,58

 

Backdoor.IRCBot.ACVK

       

2,78

             

Backdoor.IRCbot.AECD

                   

1,81

 

Backdoor.Nepoe.DL

         

0,51

5,74

3,36

0,28

     

Backdoor.Nepoe.HM

                     

5,77

Backdoor.Poison.QAG

               

0,31

     

Backdoor.Small.AEE

       

2,24

             

Backdoor.VanBot.BBW

           

12,30

32,81

0,74

2,08

   

Backdoor.VanBot.BBX

           

1,66

13,31

0,78

1,50

   

Backdoor.VanBot.FQ

 

5,56

       

2,61

         

Backdoor.VanBot.KG

       

4,93

             

Backdoor.VanBot.MH

             

1,58

       

Backdoor.VanBot.QT

 

4,92

                   

BAT.Noshare.AD

                     

2,70

IRC.Flood.AQ

                     

3,07

I-Worm.Bagle.LC

 

2,90

0,99

3,65

               

I-Worm.Mytob.ACU

     

3,86

               

I-Worm.Mytob.UA

   

0,93

                 

I-Worm.NetSky.AJ

     

4,08

               

I-Worm.Netsky.B

2,33

2,66

 

3,00

               

I-Worm.Netsky.Q

32,48

28,55

15,28

35,19

9,87

1,52

   

0,17

0,53

 

2,21

I-Worm.Zafi.B

9,22

10,97

6,10

3,22

 

1,98

 

1,83

       

I-Worm.Zafi.D

3,74

2,90

2,03

3,65

               

JS.Chir.B

     

1,93

               

JS.Mimail.C

                   

1,16

3,44

Trojan.Agent.FFIO

8,72

 

2,09

5,15

               

Trojan.Agent.FKIA

 

3,31

12,86

 

3,23

             

Trojan.Agent.HNEF

       

2,51

             

Trojan.Buzus.AFXN

           

1,11

         

Trojan.Buzus.AOLH

                   

10,29

 

Trojan.Delf.DRJU

                 

0,59

   

Trojan.DL.Branvine.B

         

8,72

4,11

         

Trojan.DL.FraudLoad.ONN

               

48,61

     

Trojan.DL.FraudLoad.PIL

               

46,12

47,04

   

Trojan.DL.Murlo.BJJ

                       

Trojan.Fraudload.HEY

         

71,38

46,12

 

0,54

     

Trojan.Inject.JFH

       

6,82

             

Trojan.Inject.JGR

         

3,22

           

Trojan.Pakes.GJU

         

0,52

         

6,27

Trojan.Pakes.PVJ

                       

Trojan.PR.Mitglied.CH

2,08

2,50

                   

Trojan.PWS.Agent.FFHJ

4,32

                     

Trojan.Sasfis.AGZ

                   

4,74

 

Trojan.Sasfis.AIA

                   

2,12

 

Trojan.Sasfis.AZT

                   

52,72

 

Trojan.VB.GUFA

             

8,11

0,33

     

Trojan.VBInject.AVQ

         

2,65

           

Trojan.VBInject.COF

           

3,60

         

Trojan.Vilsel.DT

                 

4,93

   

Trojan.Vilsel.GR

                 

36,55

   

TrojanSpy.ZBot.BCL

14,53

                     

TrojanSpy.ZBot.DGI

   

41,34

10,52

               

TrojanSpy.ZBot.DHX

   

6,05

                 

VBS.Scano.BF

2,49

 

1,87

                 

Win32.Sality.X

3,32

                     

Worm.Kolabc.AYE

                     

2,21

Worm.Poebot.FN

 

3,71

                   

Worm.Rbot.AFAE

       

3,32

0,51

1,50

1,58

 

0,41

 

3,81

Worm.SdBot.GAP

       

19,01

1,95

7,00

9,80

0,46

0,86

2,58

14,25

Egyéb:

16,77

32,02

10,46

25,75

42,87

7,04

14,25

23,22

1,66

4,55

14,98

38,21

Összesen (%)

100,00

100,00

100,00

100,00

100,00

100,00

100,00

100,00

100,00

100,00

100,00

100,00

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük