A VirusBuster Kft. összefoglalója 2009 második negyedévének IT biztonsági trendjeiről

Mi történt a második negyedév folyamán az informatikai biztonság területén? A következőkben legfontosabb, trend értékű jelenségeket, illetve híreket igyekszünk összefoglalni. Először áttekintjük a nemzetközi fejleményeket, különös tekintettel a hazai vonatkozású eseményekre. Ezt követően a VirusBuster Kft. Víruslaboratóriumának észlelései alapján áttekintést nyújtunk 2009 április-június leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól. A beszámoló elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Bízunk abban, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt.

Mi történt a második negyedév folyamán az informatikai biztonság területén? A következőkben legfontosabb, trend értékű jelenségeket, illetve híreket igyekszünk összefoglalni. Először áttekintjük a nemzetközi fejleményeket, különös tekintettel a hazai vonatkozású eseményekre. Ezt követően a VirusBuster Kft. Víruslaboratóriumának észlelései alapján áttekintést nyújtunk 2009 április-június leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól. A beszámoló elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Bízunk abban, hogy összefoglalónkban mind a szervezeti, mind az egyéni felhasználók találnak számukra hasznos információt.

A válság folytatódik…

Nincs az az ország vagy az az ágazat, amely kivonhatná magát a globális gazdasági visszaesés hatásai alól. Mint minden krízis idején, a biztonság most is különösen kényes – és fontos – üggyé lépett elő. Ezt jelzi többek között egy nemrégi felmérés is. A Unisys legutóbbi biztonsági index kutatásában (Security Index Report) megkérdezett brit fogyasztók közel háromnegyede úgy érezte: a recesszió következtében jobban kell tartania személyazonosságának eltulajdonításától és hasonló bűncselekményektől. Ennél is nagyobb volt –  a mintegy ezer szigetországbeli válaszadó 88 százaléka – azok aránya, akik attól féltek: bankkártya-csalás áldozatául eshetnek, illetéktelenek megszerzik személyi adataikat, illetve visszaélnek ezzel az információval.

Globális szinten egy év alatt a Unisys biztonsági indexe alig nőtt. A felmérés kilenc országra és nyolc kategóriára terjedt ki, melyek közt a nemzetbiztonság és a személyes biztonságérzet egyaránt szerepelt. A bankkártyacsalás miatti aggodalmat mérő index azonban világviszonylatban a tavaly márciusi 167-ről 178-ra ugrott fel. Neil Fisher, a Unisys globális biztonsági megoldásokért felelős elnökhelyettese ezt két tényezővel magyarázta. Szerinte egyrészt a gazdasági válság aláásta pénzintézetek iránti bizalmat, másrészt a jelenlegi recessziós időkben a bűnözők is minden eszközt megragadnak arra, hogy pénzhez jussanak, tehát az online csalások száma is nő.

A VirusBuster is csak egyetérthet azzal, amire a tanulmány intette az olvasókat: tartsák naprakészen biztonsági szoftverüket, gondoskodjanak internetre csatlakozó eszközeik maximális védelméről, s ne üljenek fel a beugratásoknak, a hatáskeltő félrevezetésnek.

Rések és kártevők

A számítógépes bűnözők a válság kirobbanása előtt sem tétlenkedtek, a szűkös idők azonban új lendületet adtak csöppet sem áldásos tevékenységüknek. Mint következő ábránkból kiderül, tavaly év vége óta jelentősen nőtt a világhálón keringő kártevők-fajok száma. Az AV-Test.org gyűjteményébe 2009 első hónapjaiban a korábbinál jóval több új minta került be.

Az elmúlt hónapok azonban ismét bebizonyították: nincs szükség új kártevőre ahhoz, hogy világszerte komoly járvány alakuljon ki. Vegyük csak a hírhedt Conficker férget! Ez a kártevő egy olyan rést támad, amelyet a Microsoft tavaly októberben soron kívül befoltozott. Mégis több millió gépet tudott megfertőzni, egyszerűen azért, mert felhasználók tömegei nem telepítették fel a hibát javító frissítést. Kutatók még a féreg április 1-jei, nagy csinnadrattával beharangozott aktivizálódása után is azt találták, hogy a PC-k közel ötödéről hiányzott a Conficker-veszélyt elhárító MS08-067-es folt.

Általános tanulság: hónapokkal, sőt akár évekkel egy-egy Microsoft biztonság frissítés megjelenése után is sikerrel támadhatják hackerek a szoftveróriás által betömni kívánt réseket, mivel a felhasználók az elemi biztonsági rendszabályokat sem tartják be. Egy felmérésben kutatók négy, tavaly kibocsátott, "kritikus" minősítésű Microsoft biztonsági frissítés (az MS01-001, az MS08-007, az MS08-015 és az MS08-021) meglétét vizsgálták. Több mint 80 millió gép átfésülése alapján azt találták, hogy a PC-k 5-20 százalékán semmiféle biztonsági frissítést nem végeznek, azaz nem teszik fel a Microsoft havi rendszerességgel kibocsátott javítócsomagjait sem.

Ilyen körülmények között nem csodálkozhatunk azon, hogy a Microsoft adatai szerint világviszonylatban Magyarországon a második legnagyobb a Waledac-fertőzések aránya. A Microsoft kártevő-védelmi központjának (Microsoft Malware Protection Center, MMPC) kutatói a Windows rosszindulatú szoftvert eltávolító eszközétől (Malicious Software Removal Tool, MSRT) áprilisban kapott adatok alapján készítettek statisztikát.

Eszerint a második negyedév elején a Waledac világviszonylatban a 24. legelterjedtebb kártevőcsalád volt. Jóllehet a Waledacot elsősorban mint spamküldő kártevőt ismerjük, tetszőleges állományt le tud tölteni és végre tud hajtani. Letöltő mechanizmusát nemcsak saját frissítésére, hanem más rosszindulatú programok behúzására is alkalmazhatja. A Waledac ezen kívül megpróbálja letölteni és feltelepíteni az ingyenes WinPcap csomagfogó könyvtárt is, melynek segítségével a hálózati forgalmat figyelve bejelentkezési azonosítókra vadászik.

Az MSRT különböző országokban összesen 20 ezer gépen észlelt Waledac-fertőzést. A Microsoft szakemberei országonként meghatározták a fertőzési rátát, amelyet az ezer MSRT-végrehajtásra eső Waledac-eltávolítások számával (CCM) fejeztek ki. A listát Törökország vezette, 0,277-es értékkel. Hazánk 0,153-mal a második helyen végzett. Utánunk Svájc és Ausztrália következett (0,120-as, illetve 0,113-as CCM-mel).

Foltozó keddek: Microsoft után Adobe

Fentebb többször szóltunk a Microsoft havi rendszerességű biztonsági frissítéseiről. Közismert, hogy minden hónap második keddje "foltozó kedd", azaz ekkor jelennek meg a szoftveróriás javítócsomagjai. A második negyedévben április 14-én, május 12-én és június 9-én bocsátott ki foltokat a Microsoft.

Áprilisban nyolc javítócsomagot tett közzé a cég, többek között a Windows, az Excel és az ISA Server réseinek betömésére. Közülük öt "kritikus" minősítést kapott. Május foltozó keddjén csupán egyetlen biztonsági frissítés jelent meg, az viszont egymaga 14 sérülékenységet – köztük 11 "kritikusat" – orvosolt a PowerPointon. Júniusban nem kevesebb, mint tíz menetrendszerű Microsoft-folt látott napvilágot. Ezek a Windowsban, az Internet Explorerben (IE), az Excelben, a Wordben, a Windows Searchben és más programokban rekord számú, összesen 31 rést tömtek be. A hibák közül 18-at "kritikusnak", 11-et "fontosnak", kettőt pedig "mérsékelten fontosnak" minősített a szoftveróriás.

Egyre többen rohamozzák meg a PDF-programok réseit is, annak ellenére, hogy az Adobe kibocsátotta a megfelelő biztonsági frissítéseket – figyelmeztetett a Microsoft. Egyedül májusban csaknem kétezer PDF-támadó kódmintát kapott a szoftveróriás, ami azt jelenti, hogy a támadások száma áprilishoz képest megduplázódott.

Hogyan zajlik le általában egy ilyen támadás? Kell hozzá először is egy site, amelyen speciális, rosszindulatú PDF dokumentumot helyeznek el. Ha a látogató sérülékeny (tehát nem foltozott) PDF-alkalmazással nyitja meg ezt a dokumentumot, a program végrehajtja a PDF-be rejtett rosszindulatú kódot, ami aztán többnyire valamilyen kártevőt tölt le a gépre.

Miután az elmúlt hónapokban több sérülékenységet is orvosolnia kellett népszerű szoftverein az Adobe-nak, úgy tűnik, a cég elérkezettnek látta az időt arra, hogy ne alkalmanként, hanem rendszeresen bocsásson ki javítócsomagokat. Brad Arkin, a szoftverház termékbiztonsági és személyi adatvédelmi igazgatója egy bloggcikkben így írt erről: "Idén nyártól … az Adobe Reader és az Acrobat minden számottevő támogatott változatához, valamennyi platformon negyedévenként fogunk biztonsági frissítést kibocsátani. Ügyfeleinktől tudjuk, hogy sokan a Microsoft foltozó keddjeihez igazították [biztonsági firssítési] folyamataikat, erőforrásaikat. Ezért az Adobe negyedéves javítócsomagjaival ugyanazokon a napokon jelentkezünk."

Nos, az első ilyen alkalom június foltozó keddjén volt. Korábbi gyakorlatának megfelelően az Adobe ekkor is csak a külső szakértők által jelentett hibákról – összesen 13 sérülékenységről – számolt be.

Le a levélszeméttel!

A spam továbbra is a számítógépes bűnözők egyik legkedveltebb és – sajnos – legeredményesebb eszköze. Jellemző, hogy alig pár órával Michael Jackson halála után már megjelent a nevével visszaélő levélszemét. Voltak üzenetek, amelyek egyszerűen arra igyekeztek rávenni a címzettet, hogy válaszoljon – régi trükk ez az érvényes, használatban lévő e-mail címek begyűjtésére. Ez azonban még a legártatlanabb volt a popsztár halálából pénzt kifacsarni próbáló spamfajták közül. Megjelentek olyan üzenetek is, amelyek "eddig még sosem látott Jackson-videókra vagy fotókra" mutató linkkel csábították a felhasználókat. Aki lépre ment, azt a megnyitott, preparált site-on trójai letöltő fogadta. Számíthatunk arra is, hogy – mint ez más neves emberek halálakor már megtörtént – megjelennek a CD-ket, DVD-ket kínáló levelek, amelyek a hitelkártyánk adatai után tudakozódnak. Persze a "megrendelt" termék sosem érkezik meg.

Nemcsak Jackson lett népszerű a hackerek körében, hanem Farah Fawcett is, aki a popsztárral egyazon napon hunyt el. Egyes kiberbűnözők azon fáradoztak, hogy keresőgépekben előkelő helyre tornázzák fel a színésznő nevével visszaélő site-jukat. Így előfordulhat, hogy ha valaki a Charlie angyalainak egykori hősnőjére keres, akkor olyan lapon landol, amely hamis vírusirtót akar neki eladni.

Honnan jön a levélszemét (persze nemcsak a fent említett, nevekkel visszaélő spamre gondolunk)? Úgy tűnik: Kína a kéretlen levelek áradatának legfőbb forrása. A 2009 júniusáig spam-terjesztésen kapott domainek csaknem 70 százaléka a hatalmas ázsiai ország legfelsőbb szintű domainje (.cn) alatt működött – állapította meg Gary Warner, az Alabamai Egyetem számítógépes bűnfelderítési kutatási igazgatója.

Ez persze nem jelenti szükségképpen azt, hogy a spammerek Kínában is élnek. Csupán arról van szó, hogy nemzetközi bűnözők kihasználják az ország gyengén szabályozott infrastruktúráját. "Meggyőződésem, hogy ha tudna róla, a kínai kormány nem tűrné el ezt a borzalmas helyzetet. Nyilván nem hívták még fel rá kellőképpen a [vezetők] figyelmét" – írta egy blogcikkben Warner.

A kutató úgy véli: három probléma áll a háttérben. Először is, egyes kínai internetes regisztrátorok nem reagálnak a panaszokra, ami megnehezíti a levélszemét-terjesztő domainek bezárását. Másodszor: ugyanígy hiába tesznek bejelentést több kínai hálózat-üzemeltető cégnél. Végül: az ország bűnüldöző szerveinek szorosabb kapcsolatban kellene állnia a külvilággal.

Ugyanakkor Warner szerint a fent említett cégek nem szándékosan szolgálják a sötét elemeket. "Úgy gondoljuk, hogy a bűnözők [egyszerűen] használják a hálózatukat, s a vállalatok még nem találták meg a módját, hogyan kezeljék panaszainkat, s hogyan zárják ki a bűnözőket a rendszerükből" – jelentette ki.

Az IBM informatikai biztonsággal foglalkozó munkacsoportja arról számolt be, hogy visszatértek a világhálóra a szöveg helyett csak képet tartalmazó kéretlen levelek. Holly Stewart, az IBM ISS X-Force csapatának munkatársa szerint hosszú szünet után április végén ismét felszökött a képes spam aránya. A műfaj, mely 2006 végén és 2007 elején élte virágkorát, 2008 folyamán alig hallatott magáról.

Annak idején a netet szennyező – persze anyagi haszon reményében munkálkodó – levélírók azért rejtették képbe mondanivalójukat, mert a szöveges kéretlen leveleket mind hatékonyabban állították meg a spamszűrők. A képes kampány beindulása után a spammerek hónapokon át rabló-pandűrt játszottak a biztonsági cégekkel, míg végül az utóbbiak győztek.

Épp ezért meglepő, hogy újból felbukkant ez a technika, hiszen a szűrő rendszerek ma is kívül tartják a kéretlen képeslapokat – feltéve, hogy a 2008-as szünettől megkönnyebbülve, a teljesítmény növelése érdekében nem iktatták ki belőlük ezt a funkciót.

Mint Holly Stewart megjegyezte, a mostani képekre még linket sem tettek a küldők – aki ráharap a kéretlen reklámra, maga kell, hogy begépelje az ajánlott webcímet. Egyébként az egyetlen lényeges különbség a jelenlegi és a két évvel ezelőtti kampány között az, hogy mit akarnak eladni a szerzők. Akkoriban részvényekről szóltak az üzenetek – most leginkább gyógyszerekről. Válság idején az utóbbiak nyilván keresettebbek…

Ahogy a spammerek globálisan tevékenykednek, úgy igyekeznek összehangolni munkájukat az ellenük harcoló cégek is. Júniusban Amszterdamban tartotta legutóbbi találkozóját az Üzenetvisszaélés-ellenes Munkacsoport (Messaging Anti-Abuse Working Group, MAAWG). A 2003-ban alapított szervezetben olyan óriások dolgoznak együtt, mint az AT&T, a Yahoo, a Comcast vagy a Verizon. A mostani volt az eddigi legnagyobb európai konferenciájuk: 19 országból 270 résztvevő érkezett az alkalomra a holland nagyvárosba, köztük az amerikai szövetségi fogyasztóvédelmi hatóság (az FTC), az FBI és a Europol képviselői. Az asztalon a spam mellett olyan témák szerepeltek, mint a hálózatbiztonság és az internetes domain-név rendszer (DNS). Egyik fontos feladata volt a tanácskozásnak, hogy elvégezzék az utolsó simításokat egy olyan dokumentumon, amely internet-szolgáltatóknak (ISP-knek) mutatja be, hogyan védekezhetnek legjobban a botnetek ellen.

Halászat és egyéb mesterségek

Nem kis részét teszik ki a kéretlen levelek forgalmának az adathalász (phishing) üzenetek, amelyek szerzői a címzettek személyi adatait, bankszámla-hozzáférését igyekeznek csalárd módon megszerezni. Hazánkban sem ismeretlen ez a műfaj. A második negyedévben különösen az MKB Bankra járt rá a rúd. Ismeretlen tettesek áprilisban és májusban egymás után három adathalász-rohamot indítottak a pénzintézet ügyfelei ellen.

Szerencsére meglehetősen átlátszó trükkről volt szó, amelynek remélehetőleg nagyon kevesen ültek fel. A bűnözők igen rossz magyarsággal fogalmazott – nyilván gépi fordítással készült – üzenetben, kitalált biztonsági problémára hivatkozva arra kérték a címzetteket, hogy egy weblapon adják meg MKB NetBANKár internet banking azonosítóikat. Persze ezt a hamis, az MKB Bank honlapra hasonlító oldalt a bűnözők készítették.

A bank mindhárom adathalász-kísérlet alkalmával közleményben hangsúlyozta: egyetlen bank sem kér telefonon vagy e-mailben bizalmas, személyes, illetve azonosító adatokat. A pénzintézet arra intette ügyfeleit, hogy ha ilyen jellegű megkeresést kapnak, azt feltétlenül utasítsák vissza, s töröljék az üzenetet. Ugyancsak hasznos tanács: sose próbáljunk meg banki internetes oldalra e-mailben kapott linkre kattintva belépni, s azonosító adatainkat kizárólag a bank bejelentkező oldalára írjuk be. Az MKB azt is javasolta ügyfeleinek: biztonságuk fokozása érdekében vegyék igénybe a pénzintézet SMS hitelesítő szolgáltatását. És persze az esetek megint megerősítik, milyen fontos, hogy jogtiszta, naprakészen frissített szoftverrel, illetve vírus-adatbázissal dolgozzunk.

A kéretlen levelek egy másik veszélyes fajtája scareware-t, azaz hamis antivírus programot ajánl megvételre. Más szóval olyan szoftvert kínál, amely semmiféle funkciót nem lát el – mármint azon kívül, hogy nem létező biztonsági problémákkal ijesztgeti vagy a gépén lévő pornó eltávolításával hitegeti a célba vett áldozatot.

A közelmúltban egy ilyen amerikai ügy nem valami megnyugtató eredménnyel zárult. Sokan bírálták az Egyesült Államok fogyasztóvédelmi felügyelete, a Federal Trade Commission (FTC)  döntését, amelynek értelmében egy scareware-terjesztéssel vádolt férfi töredék-bírsággal megúszhatta a bűncselekményt.

Mi is történt? James Renót és a ByteHosting Internet Services céget bűnösnek találták scareware termékek terjesztésében. A trükknek több mint egymillióan ültek fel, s vásárolták meg a WinAntivirus, ErrorSafe, XP Antivirus és más neveken kínált csalárd programokat. Ezért a vádlottakat tavaly 1,9 millió dollár bírsággal sújtották.

Reno azonban vagyontalannak vallotta magát, így az FTC egyezséget ajánlott: kiegyezik 116 ezer dollárral is, azzal a feltétellel, hogy a vádlottak felhagynak a scarware-terjesztéssel, s többé nem lépnek üzleti kapcsolatba egymással.

Nem tudni, mennyi pénzt sikerült Renónak és cégének kipréselnie áldozataikból. Minthogy azonban a hamis biztonsági programokért általában legalább 50 dollárt kérnek, a tiltott kereskedelem akár 50 millió dollárt is hozhatott. Ennek a hatalmas összegnek még az eredeti bírság is csak parányi százaléka, nem beszélve az FTC legutóbbi ajánlatáról. Így a büntetésnek nincs valami nagy elrettentő ereje – jelezték fenntartásaikat elemzők.

Budapest = biztonság

Fejezzük be nemzetközi összefoglalónkat hazai terepen! Május elején néhány napig vitathatlanul Budapest volt a világ informatikai biztonsági fővárosa. A világ legkiválóbb vírusszakértői érkeztek hozzánk a 3. CARO Workshopra, illetve a rögtön utána tartott AMTSO-tanácskozásra. Mindkét esemény házigazdája a VirusBuster volt.

Milyen szervezetekről, illetve témákról is van szó? A CARO (Computer Antivirus Researchers' Organization) a számítógépes antivírus kutatók nemzetközi szervezete. Az AMTSO-t (Anti-Malware Testing Standards Organization, kb. Antivírus Tesztszabványosítási Szervezet) tavaly januárban hozta létre közel két tucatnyi neves informatikai biztonsági cég és független tesztközpont azzal a céllal, hogy világszerte egységes, szigorú irányelvekre alapozzák az antivírus szoftverek tesztelését. Szappanos Gábor, a VirusBuster Víruslaboratóriumának vezetője tagja az AMTSO igazgatótanácsának.

A CARO sorrendben immár harmadik műhelykonferenciájára mintegy 110 szakértő – az ágazat krémje – ült össze a Radisson SAS Béke Hotelben, hogy áttekintsék a terület legfontosabb fejleményeit, trendjeit. Világméretű influenza-riadó ide vagy oda, nem kevesebb, mint 26 antivírus cég és nyolc független szervezet képviseltette magát. A konferenciát, melyen Szappanos Gábor elnökölt, a rangos Virus Bulletin két volt főszerkesztője is megtisztelte jelenlétével.

Alig ért véget a CARO Workshop, már kezdődött is az antivírus tesztek szabványosításával foglalkozó AMTSO tanácskozása. Az ülés talán legfontosabb eredménye az a bejelentés volt, miszerint a szervezet elemezni kívánja a különböző helyeken megjelenő vírusirtó-teszteket. A tesztekben alkalmazott módszertant egybevetik az AMTSO tesztelési szabványaival, s az értékelést közzéteszik. A kezdeményezés fő célja, hogy a fogyasztók világos képet kapjanak arról: mennyire pontos és megbízható egy-egy teszt. A tagok azt remélik, hogy ennek hatására világszerte javul majd a vírusirtók tesztelésének minősége.

"Tartalmas, pontos és – mindenekelőtt – a fogyasztó számára hasznos teszteket szeretnénk látni – jelentette ki Stuart Taylor, az AMTSO igazgatótanácsának tagja, a Sophos szakértője. – Sajnos számos rosszul felépített, sőt, félrevezető teszt jelenik meg. Ugyanúgy, ahogy az antivírus cégek küzdenek a hamis vírusirtó programok ellen, mi a hamis teszteket és termékbemutatókat szeretnénk kiszorítani a piacról."

"Kiemelkedő" kártevők

A VirusBuster Kft. napi tevékenysége során rendszeresen készít statisztikákat az észlelt károkozókról, melyeket havi összesítésben is közzétesz (http://virusbuster.hu/hu/viruslabor/virus_top/). Alább részint ezeket az adatokat összegezzük 2009 második negyedévére vonatkozóan, majd áttekintjük azt is, hogy a weben honnan terjesztik a legaktívabban a különböző rosszindulatú programokat.

Valamennyi mintaforrásunkat súlyozottan összesítve az alábbi kártevő-gyakorisági listát kaptuk az április-június időszakra. Mint az előző negyedévben, most is elszomorító a Netsky-, illetve Zafi-féle sokéves kártevők jelenléte. Ezek mellett ki kell emelnünk a féregcsapdáinkba esett különböző, folyamatosan új variánsokkal felbukkanó Rbot/SdBot kártevőket.

Napjaink gyakoribb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében sok más víruslaborhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit.

A legtöbb terjesztett kártevő a különböző hamis antivírus alkalmazásokhoz kötődött, de a korábbi ismerősök közül nagy súllyal jelent meg a Swizzor és a Cinmus is. A terjesztési helyek között ismét a szokásosak domináltak: a volt Szovjetunió utódállamai, Kína és az Egyesült Államok. A második negyedévben azonban felbukkant mellettük pár német site is.

Íme április-június legaktívabb kártevő terjesztő domainjei: