Jelent-e meg új a nap alatt a harmadik negyedév folyamán az informatikai biztonság területén? Mire számíthatunk a következő hónapokban? Beszámolónkban ezekre a kérdésekre keressük a választ. Előbb áttekintjük a legfontosabb, trend értékű jelenségeket, híreket, majd a VirusBuster Kft. víruslaboratóriumának észlelései alapján áttekintést nyújtunk a 2009 július-szeptember időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól.

 

Jelent-e meg új a nap alatt a harmadik negyedév folyamán az informatikai biztonság területén? Mire számíthatunk a következő hónapokban? Beszámolónkban ezekre a kérdésekre keressük a választ. Előbb áttekintjük a legfontosabb, trend értékű jelenségeket, híreket, majd a VirusBuster Kft. víruslaboratóriumának észlelései alapján áttekintést nyújtunk a 2009 július-szeptember időszak leggyakoribb számítógépes károkozóiról, illetve azok legjelentősebb webes forrásairól.

1. Fokozódó fenyegetések

Egyre több hamis vírusirtó, bankszámlavadász trójai program és adathalász leselkedik ránk. Kormányzati és nagyvállalati honlapokat döntöttek be bűnözők az Egyesült Államokban és Dél-Koreában.

2. Mobilok a célkeresztben

Növekvő érdeklődéssel tekintenek a hackerek az okostelefonokra is.

3. Felelős vezetők, bővülő piac

Hogyan érinti a terjedő kiberbűnözés a cégvezetőket? Mennyire hajlandók a vállalatok a válság közepette biztonságra áldozni?

4. Bűnözők és büntetések

Sikerül-e bíróság elé állítani, elítélni a számítógépes bűnözőket? Milyen büntetésekre számíthatnak?

5. Foltozási gyakorlat

Hiába bocsátja ki biztonsági frissítéseit havi rendszerességgel a Microsoft, ha a cégek nem ott védekeznek, ahol leginkább kellene.

6. Magyar siker a Microsoftnál

A kemény verseny ellenére meg tudta őrizni helyét a Microsoft antivírusmotor-beszállítói között a VirusBuster.

7. "Kiemelkedő" kártevők

Melyek voltak, honnan érkeztek a leggyakoribb kártevők a harmadik negyedévben?

Az anyag elkészítéséhez felhasználtuk a Puskás Tivadar Közalapítványon belül működő CERT-Hungary Központ adatait, illetve a szerteágazó nemzetközi kapcsolataink révén begyűjtött információkat is. Több neves cég az elmúlt három hónapban tette közzé az idei első félévet elemző tanulmányát, így ne lepődjék meg az Olvasó, hogy a január-június periódusra vonatkozó adatokat is közlünk.

1. Fokozódó fenyegetések

Nálunk egy nap telik évente számítógépeink védelme jegyében, az Informatikai Biztonság Napja, az ITBN, melyet a korábbiakhoz hasonlóan idén is szeptember végén rendeztek meg. Ennek is nagyon örülnünk kell — a nagy érdeklődésnek különösen –, de az utolsó negyedévre egy pillanatra átkacsintva megjegyezzük: a tengerentúlon harmincszor, a Csatornán túl pedig hétszer ennyi időn át kampányolnak eme nagyon is aktuális cél érdekében. Október volt Amerikában a kiberbiztonsági tudatosság hónapja (National CyberSecurity Awareness Month), s ugyancsak októberben Nagy-Britanniában egy hetet a személyazonossági csalások megelőzésének szenteltek (National Identity Fraud Prevention Week).

Bizony nagy szükség van a tudatosság javítására. Hiszen — figyelmeztet az Adathalászat-ellenes Munkacsoport  (Anti-Phishing Working Group, APWG) — sosem volt ilyen veszedelmes hely a világháló, mint ma. Az internetes csalások után nyomozó globális szervezet a mögöttünk álló negyedévben tette közzé jelentését 2009 első hat hónapjának — ugyancsak riasztó — tapasztalatairól.

Íme néhány adat ízelítőül. Idén január és június között csaknem meghatszorozódott (585 százalékkal nőtt) a hamis vírusirtók száma. A banki trójaiak — vagyis a pénzintézeti site-ok hozzáférési adatainak megszerzésére tervezett kártevők — száma 186 százalékkal szökött fel. A 2007 áprilisi (közel 56 ezres) rekord óta sosem leselkedett ennyi adathalász site a weben, mint most: az APWG-nél az idei első félévben több mint 49 ezret vettek lajstromba. Csúcsot döntött az "eltérített" cégek (márkák) száma: márciusban 310-en állt, s nem is igen esett vissza a félév végéig. A fertőzött gépek szomorú tábora a tavalyi utolsó negyedévtől idén júniusig 66 százalékkal bővült. A félév végén a vizsgált számítógépek több mint fele (54 százaléka) — csaknem 12 millió darab — bizonyult fertőzöttnek.

"Különösen nagy aggodalomra ad okot, hogy a jelszavak és felhasználónevek begyűjtésére tervezett rosszindulatú programok nemcsak rohamosan terjednek, hanem egyre kifinomultabbakká is válnak" — kommentálta az eredményeket az APWG elnöke, David Jevans.

Szeptemberben fedezték fel például kutatók az URLzone trójait, amely mintegy 6400 felhasznált fertőzött meg (fertőzési sikerességét 7,5 százalékra becsülik), s körülbelül napi 12 ezer eurót kasszírozott. Ilyen napi átlaggal a bűnözők éves szinten 7,3 millió euróra tehetnek szert.

Szakmai körökben külön figyelmet keltett az URLzone felhasználói felületének kifinomultsága, az, ahogy a kártevő be tudja csapni a csalásfigyelő rendszereket. Be lehet állítani a szoftverben például, hogy a megcsapolt bankszámlán mindig maradjon valamennyi pénz, vagy hogy sorozatosan, de mindig csak kis összegeket emeljen le a program. Mi több, az áldozat képernyőjén a kártevő a csalárd tranzakciók nélkül jeleníti meg a bankszámla adatait.

Az elterjedtebb bankbelépő-lopó trójaik — így a Zeus vagy a Clampi — nap mint nap dollármilliókat szivattyúztak ki áldozataik számlájáról. A leemelt összegeket a bűnözők balekoknak utalják át, akiket többnyire állásportálokon bérelnek fel. A legtöbb balek abban a hiszemben utalgatja tovább külföldre a számlájára befolyó pénzeket, hogy legális munkát végez — mondjuk tengerentúli cégek bérszámfejtésével foglalkozik. Ha a rendőrség lecsap, mégis könnyen ők kerülhetnek a vádlottak padjára.

Egyre kifinomultabb módszerekkel ostromolják a gyanútlan felhasználókat a számítógépes bűnözők — erősítette meg az IBM speciális csapatának, az X-Force-nak a 2009-es félévi, biztonsági trendeket és kockázatokat áttekintő tanulmánya is. Terjedő technika a legális site-ok feltörése, rosszindulatú linkek elhelyezése blogokon és közösségi portálokon. Az idei első félévben 500 százalékkal ugrott fel a rosszindulatú weblapokra mutató linkek száma – írják a kutatók.

Egybecseng az előbbiekkel egy márkavédő cég, a MarkMonitor felmérése is, mely 151 ezer különböző adathalász-támadást regisztrált 2009 második negyedévében. Ezt a vállalat — az APWG-hez hasonlóan — kétéves rekordnak találta. A tanulmány megállapítja: továbbra is a pénzintézetek, illetve a pénzügyi szolgáltatók az adathalászok legkedveltebb célpontjai. A második negyedévben öt támadásból négy (azaz 80 százalék) ellenük irányult. Ugyanakkor figyelemre méltó, hogy egy év alatt több mint megkétszereződött — 168 százalékkal ugrott meg — azoknak a kampányoknak a száma, amelyekben közösségi portálok bejelentkezési azonosítóit igyekeztek megszerezni a bűnözők.  A csalárd üzenetekben szereplő több millió webcím átvizsgálása alapján a MarkMonitor azt találta: egy szervezetre átlagosan 351 támadás jutott a második negyedévben. Az adathalász támadásokhoz köthető site-ok fele amerikai szervereken működött.

Hihetetlennek tűnik, de minden tizedik brit áldozatul esett már személyazonosság-lopásnak — derül ki a csalásmegelőzéssel foglalkozó szigetországbeli szervezet, a Cifas felméréséből. Idén az első kilenc hónapjában több mint 59 ezer "megszemélyesítési" esetet jelentettek, 36 százalékkal többet, mint egy évvel korábban. Ugyanilyen mellbevágó szám az egyik eredménye annak a felmérésnek, amelyet a brit YouGov piackutató cég végzett nemrég a VeriSign megbízásából. Eszerint Nagy-Britanniában a felnőtt lakosság 12 százaléka esett online személyazonosság-lopás áldozatául az elmúlt 12 hónapban.

Azzal, hogy megszemélyesítik áldozatukat, s nevében hitelt vesznek fel, a csalók nemcsak pénzükből forgatják ki embertársaikat, hanem hitelminősítésüket is tönkreteszik. A YouGov adatai azt mutatják: egy áldozat átlagosan 463 fonttal lett szegényebb. A Cifas szerint a személyazonosság-lopás évente mintegy 1,2 milliárd font kárt okoz a brit gazdaságnak, a YouGov pedig több mint kétszer ekkora összegről beszél: ők az elmúlt 12 hónap teljes kárösszegét 2,61 milliárd fontra teszik.

Szakértők két fő tényezővel magyarázzák az online személyazonosság-lopási esetek elszaporodását: a mind kifinomultabb támadási módszerekkel és a webvásárlók tömegének növekedésével. Hozzáteszik: sokan nem tudják megkülönböztetni a csaló site-okat a tisztáktól, nem tudják, hogyan védekezhetnek az adatlopás ellen. Úgy látszik, legalább a fiatalabb korosztály műveltebb világháló-ügyekben: a YouGov-felmérés szerint 18-24 éves korosztály körében az áldozatok aránya csak 5 százalék volt, míg a 45-54 éveseknél csaknem háromszor ennyi: 14 százalék.

Persze nemcsak a magánembereket és a pénzintézeteket veszik célba a hackerek. Lehet politikai céljuk is. Erre gyanakodtak a nyomozók, mikor július elején elosztott szolgáltatásmegtagadási (DDOS) támadás ért több mint két tucatnyi kiemelkedően fontos webhelyet az Egyesült Államokban és Dél-Koreában. Az amerikai függetlenség ünnepén, július 4-én indult hadművelet számos site-ot teljesen lebénított, másokat pedig erősen lelassított.  A nyilvánosságra került 27 célpont között ott volt a Fehér Ház, az amerikai pénzügy- és közlekedési minisztérium, valamint a titkosszolgálat site-ja, a fogyasztóvédelmi felügyelet (Federal Trade Commission, FTC), a New York-i és a Nasdaq tőzsde webhelye, de a Yahoo pénzügyi rovata és a Washington Post online kiadása is. Dél-Koreában legalább 11 jelentős webhely lassult le vagy omlott össze.

"Nem valamiféle egyéni akcióval állunk szemben. Úgy tűnik, alaposan megtervezett és végrehajtott támadásról van szó, amelyet egy szervezet vagy egy állam irányít" — közölte a dél-koreai állami hírszerző szolgálat, amely az amerikai hatóságokkal közösen vizsgálta az ügyet.

2. Mobilok a célkeresztben

Nemcsak a számítógépek, netán bankautomaták vannak veszélyben. A számítógépes bűnözők az okostelefonokra is növekvő érdeklődéssel tekintenek. Nem kisebb személyiség szólt erről egy konferencián, mint Rich Cannings, a Google Android biztonsági csapat vezetője. "Az okostelefon operációs rendszerek kiemelt biztonsági célpontokká válnak. Az a támadó, aki okostelefont vesz célba, már ma is több millió áldozatra sújthat le, s ez a szám hamarosan nőni fog. A magam részéről úgy gondolom: a rosszindulatú programok szerzői számára ez maga lesz a Kánaán" — jelentette ki a szakember.

Nem Cannings az első, aki ilyen aggályokat fogalmaz meg. A BlackBerryk, az iPhone-ok, az Android telefonok és a Windows Mobile alapú eszközök terjedésének mondhatni szükségszerű velejárója, hogy magukra vonzzák a támadók, spammerek figyelmét. Természetes célpontokká teszi ezeket a készülékeket a nagy tárkapacitás, az, hogy valódi alkalmazások futnak rajtuk, no meg hogy egyes mobil operációs rendszerek gyengébben állnak biztonság dolgában.

Különösen az Apple slágerré vált iPhone-jával foglalkoznak előszeretettel a hackerek. Sokat lehetett olvasni például a készülék SMS-sérülékenységéről, melyet egy speciális SMS üzenettel kiaknázó esetleges támadó magához ragadhatta a címzett telefonjának vezérlését: rosszindulatú kódot telepíthetett a készülékre, spamterjesztésre vagy további támadásokra használhatta azt. Nos, augusztus elején az almás cég szoftverfrissítéssel kijavította ezt a hibát. Ám alig egy hónappal később már újabb — ezúttal készüléken kívüli — támadási felületről érkezett hír.

Szeptember 25-ével vált elérhetővé az Egyesült Államokban az iPhone-on az MMS szolgáltatás. Szakértők azonnal jelezték: számítógépes bűnözők hasznot próbáltak húzni az újdonság iránti érdeklődésből. Hogyan? Nos, az iPhone MMS-sel kapcsolatos, első helyeken bejövő — persze angol nyelvű — Google-találatokat "mérgezték meg". A vezető keresési találatok között több link átirányításokon keresztül végül egy olyan lapra vitte a gyanútlan szörföst, ahol hamis antivírus szoftvert sóztak a nyakába. A lapra érve — természetesen valótlan — figyelmeztetés rémítette meg a látogatót: a gépe fertőzött! A site egyszersmind rögtön letölthető állítólagos vírusirtót is kínált. A gyors "segítség" persze nem volt ingyen…


3. Felelős vezetők, bővülő piac

Hogyan érinti a terjedő kiberbűnözés a cégvezetőket? Mennyire hajlandók a vállalatok a válság közepette biztonságra áldozni?

Egy felmérés szerint a cégek első emberei általában kevésbé tudnak a vállalatuknál bekövetkezett biztonsági problémákról, mint más főnökök, s hajlamosabbak úgy vélni, hogy az adatbetörések könnyen elkerülhetők. Nemrég a neves Ponemon Intézet 213 ügyvezetőt/vezérigazgatót (CEO-t), informatikai vezetőt (CIO-t) és más felsővezetőt keresett meg az informatikai biztonsággal kapcsolatos kérdésekkel. A megkérdezett CEO-k 48 százaléka ítélte úgy, hogy hackerek csak ritkán próbálnak meg hozzáférni cégük adataihoz. Ugyanakkor a többi felsővezető mintegy 53 százaléka — pont ellenkezőleg — úgy nyilatkozott, hogy minden nap, sőt minden órában támadják őket.

Azt is kimutatta a kutatás, hogy az ügyvezetők/vezérigazgatók másként látják, ki a felelős a vállalat adatainak védelméért. Abban egyetértés mutatkozott a különböző felsővezetők között, hogy van egy ezért felelős személy — tíz válaszadó közül nyolc gondolta így –, abban azonban már igencsak megoszlottak a vélemények: ki is az. A CEO-k több mint fele szerint az informatikai vezető (CIO) felelős az adatvédelemért, a többi főnökök közül viszont csak 24 százalék vélte így. A legtöbben (85 százaléknyian) úgy nyilatkoztak: nem őket, hanem valaki mást vennének elő, ha betörnének a cég adataiba.

Minden egymásra mutogatás ellenére úgy tűnik: a cégvezetők figyelmét nem kerüli el a fenyegetések mindent elborító hulláma. Mindenesetre erre utalnak a Gartner piackutató cég közelmúltbeli adatai. Eszerint válság ide vagy oda, továbbra is növekedni fog a biztonsági szoftvertermékek világpiaca, még ha idén ez a növekedés visszafogott is lesz. A Gartner úgy becsüli: 2009-ben világszerte 14,5 milliárd dollár értékű biztonsági szoftver talál gazdára — 8 százalékkal több, mint tavaly. Jövőre azonban az egészségesebbé váló gazdasági környezetben felgyorsul a növekedés: az értékesítés volumene eléri a 16,3 milliárd dollárt, ami éves szinten 13 százalékos bővülést jelent.

Ruggero Contu elemző azzal indokolta az előrejelzést, hogy a biztonság az IT-nek az a területe, amelyen a vállalatok recesszió idején sem merik lefaragni a költségvetést. "Középtávon a legnagyobb növekedésre a szolgáltatásként nyújtott szoftverek (software-as-a-service, SaaS), a készülék alapú megoldások és a kkv-k piacán számítunk. A kis cégek most igyekeznek behozni biztonsági lemaradásukat, így a nagyvállalatokhoz képest költségvetésük viszonylag nagyobb részét fordítják erre a célra" — tette hozzá a szakember.

"Örömmel mondhatom, hogy Magyarország is követi a világpiaci trendet — összegezte a VirusBuster tapasztalatait Bozsó Julianna ügyvezető. — A válság ellenére nem szűkült idén a hazai piac. Ellenkezőleg: mérsékelt bővülésről számolhatunk be, s jövőre már komolyabb növekedésre számítunk. Jóllehet az egyéni felhasználók kevesebbet költöttek idén vírus- és spamvédelemre, a cégvezetők többsége arra az álláspontra helyezkedett, hogy a biztonságon nem szabad takarékoskodni."

4. Bűnözők és büntetések

A számítógépes bűncselekmények számának növekedésére, módszereinek finomodására nemcsak a cégvezetésnek, az informatikai biztonsági szakembergárdának, hanem a bűnüldözésnek, az igazságszolgáltatásnak is reagálnia kell. Nem könnyű elkapni az országhatárokon könnyűszerrel átnyúló, gyakran technikailag alaposan felkészült hackerbandákat. Ha ez netán sikerül, akkor még mindig hátravan az igazságszolgáltatás, ami nem egyszer elbukik a paragrafusok csűrésén-csavarásán, vagy éppenséggel a megfelelő jogszabályok hiányán. Márpedig világszerte egyre gyakrabban hallani olyan hangokat, amelyek a számítógépes bűncselekmények szigorúbb büntetését sürgetik.

Egy ponton épp a közelmúltban hazánk is szigorított. Jóri András adatvédelmi biztos kezdeményezésére a Büntető Törvénykönyv augusztus 10-ével hatályba lépett módosításának értelmében bűncselekménynek minősül a jogtalan haszonszerzési célból való adatkezelés. Ily módon lehetővé válik a felelősségre vonás azon esetekben, amikor spamben jogtalanul összeállított e-mail címeket, elérhetőségeket, személyes adatokat tartalmazó adatbázisokat kínálnak megvételre. Az így felajánlott adatbázisok általában több száz személy nevét, elérhetőségét és egyéb személyes adatait tartalmazzák. Az adatok többnyire jogszerűtlen forrásból származnak, illetve az érintettek hozzájárulásának hiányában értékesítésük jogellenes. Bűncselekménynek minősül az illegálisan összeállított direkt marketing célú adatbázisok, listák készletezése, fejlesztése, kereskedelme, illetve küldése is. A hatályos magyar törvények szerint direkt marketing célú elektronikus üzenet csak a címzett előzetes hozzájárulásával küldhető.

Elemzők megjegyzik: jóllehet ugyanazon EU direktíva jegyében születtek, az egyes uniós tagállamokban igencsak eltérő a spamellenes törvények hatékonysága és szigora. Hollandiában például a közelmúltban 250 ezer euró bírságot vetett ki egy notórius spammelőre. Reinier Schenkhuizent nem kevesebb, mint 21 millió kéretlen üzenet szétszórásával vádolta a holland távközlési felügyelet, az OPTA. A negyedmilliós összegből 150 ezer euró a levélszemét-terjesztésért járó büntetés, míg a fennmaradó 100 ezret azért szabták ki, mert Schenkhuizen nem biztosított lehetőséget a címzetteknek arra, hogy leiratkozzanak a címlistájáról. Ha a férfi folytatja a levélszemét-terjesztést, a most kivetett bírság minden egyes nap 5 ezer euróval nő (egészen további 100 ezer euróig). Nem ez az első nagy spam miatti bírság az OPTA történetében. Tavaly májusban két céget 510 ezer euróra büntettek a spamellenes törvény megsértése miatt. Egy botnet-üzemeltetőt, akit 9 milliárd kéretlen levél szétküldésével vádoltak, 2007 februárjában 75 ezer eurós bírsággal sújtottak.

Pár határral arrébb, a brit igazságügyi minisztérium parlamenti képviselői kérdésre válaszolva írásban közölte: hány esetben sikerült elítélni a 2003-2007 időszak hacker-vádlottjait. Nos, az öt év folyamán 108 ember ellen indult eljárás számítógépes bűncselekmény miatt, ám elmarasztaló ítélet csak 61 ellen született közülük. (A 2008-as adatok még nem állnak rendelkezésre; az idézett szám csak azokra az ügyekre vonatkozik, amelyekben a számítógépes bűncselekmény volt a fő vádpont.)

A minisztériumi dokumentum az esetek súlyossága szerinti bontást is közölt: három fokozatot különböztetett meg. A legkevésbé súlyos, 1-es csoportba került például az, ha valaki jogosulatlanul lépett be egy számítógépbe. A 2-es kategóriába soroltak egy esetet, ha a vádlott más bűncselekmény részeként jogosulatlan módosításokat hajtott végre egy rendszerben. Végül a legsúlyosabb ügyek — amelyekben vírusírás vagy szolgáltatásmegtagadási (DoS) támadás indítása volt a vád — a 3-as csoportban szerepeltek.

Ilyen kis minta esetén igencsak csínján kell bánni a trendvonal-húzással. Mégis érdemes rámutatni, hogy a 2003-as 25 százalékos elítélési arány után a brit igazságszolgáltatás siker-rátája 2004 és 2007 között nagyjából ugyanaz maradt. A 3-as csoportba tartózó ügyekben viszonylag több elmarasztaló ítélet született ezekben az években, mint a másik két kategóriában.

Lehet, hogy a tengerentúlon jobban kell tartaniuk a kiberbűnözőknek a rendőrségtől, bíróságtól? Szeptember végén jelentette be az FBI: két — összeesküvéssel és különösen nagy kárt okozó személyazonosság-lopással vádolt — román férfit adtak ki az Egyesült Államoknak. A 25 éves craiovai Petru Bogdan Belbita és a 28 éves galati-i Cornel Ionut Tonita eredetileg egy, a People's Bank nevében küldött csalárd e-mail miatt került a bűnüldözés hálójába. Az üzenet egy feltört szerveren működő hamis banki site-ra csalta a címzetteket. Később azonban a hatóságok jócskán bővítették a vádat. A vizsgálat szerint ugyanis a duó számos más adathalász-akciót is végrehajtott, mégpedig olyan célpontok ellen, mint a Citibank, a Capital One, a JPMorgan Chase, a Comerica Bank, a Wells Fargo, az eBay és a PayPal. Hivatalosan Belbita és Tonita, valamint öt más román állampolgár ellen 2007 januárjában indult meg az eljárás. Belbitát idén januárban Kanadában, Tonitát pedig júliusban Horvátországban tartóztatták le, s szeptemberben mindkettejüket átszállították az Egyesült Államokba. A vádpontok közül a banki csalásra való összeesküvés a legsúlyosabb — ezért akár 30 évnyi szabadságvesztés is kiszabható.

Szintén a harmadik negyedévben történt: négy év börtönre ítéltek egy amerikai férfit, aki közösségi portálokon öt alkalommal tett közzé életveszélyes fenyegetést. A 28 éves Allen Leon Sammons egyetemi lövöldözéseket helyezett kilátásba.

Végül még egy amerikai eset, amely a világsajtót is bejárta. Hogy kevesebb időt kelljen börtönben töltenie, bűnösnek vallotta magát Albert "Segvec" Gonzalez, több, rekordméretű kártyaadat-lopási ügy első számú gyanúsítottja. A vádalku része volt a bűncselekmények révén szerzett haszon beszolgáltatása is. A hacker több mint 2,7 millió dollárnyi vagyont halmozott fel, amelyből — mint most kiderült — több mint egymillió dollárt készpénzben, a kertjében elásva tartott. Elkoboztak tőle ezen kívül többek között egy miamibeli lakást, egy 2006-os BMW 330i-t, egy Tiffany gyémántgyűrűt és négy Rolex órát.

Az augusztusi bírósági megállapodás kettőt zárt le a Gonzalez ellen folyó három eljárás közül. Ezekben a vád összesen több mint 40 millió plasztiklap adatainak eltulajdonítása volt — az egyik esetben a TJX, a Barnes & Noble, az OfficeMax és más cégek hálózatából, a másikban a Dave & Buster's étteremlánc szervereiről. Folyik azonban Gonzalez ellen egy harmadik eljárás is, mely szerint 130 millió kártya adatait emelte el a Heartland Payment Systems és négy másik cég rendszeréből.

Gonzalez, aki korábban az amerikai titkosszolgálat informátora volt — mégpedig épp egy kártyacsalási ügyben — a börtön mellett legalább 250 ezer dollár pénzbüntetésre számíthat. A két lezárult eljárásban 15-25, illetve legfeljebb 20 év szabadságvesztést szabhat ki a bíróság, azonban a vádalkunak hála a hacker a kettőt párhuzamosan ülheti le. Ítélethirdetés december elején várható.

5. Foltozási gyakorlat

Nem ott védekeznek leginkább a cégek, ahol kellene — állítja a SANS Institute tanulmánya. A szervezetek általában az operációs rendszerek frissítésére koncentrálnak, pedig a webhelyek réseinek és a kliens oldali sérülékenységeknek a kiaknázása sokkal nagyobb veszélyt jelent — szögezi le a "legnagyobb kiberkockázatokról" szóló jelentés. A rosszul megválasztott védekezési súlypontok miatt a cégek jobban ki vannak szolgáltatva a támadásoknak és fertőzéseknek.

Tíz támadásból hat a webes alkalmazások ellen irányul. A webhelyek sérülékenységeit kiaknázó hackerek előszeretettel kovácsolnak egyébként megbízhatónak ismert site-okból rosszindulatú szervert. A Microsoft Office, az Adobe Flash és más alkalmazások ugyancsak gyakran kerülnek a célkeresztbe. Tovább rontja a helyzetet, hogy a cégek nem ritkán kétszer annyit késlekednek az alkalmazások biztonsági frissítésével, mint az operációs rendszerekével. 

Vannak rések, amelyeket a cégek akár két éven át is tárva-nyitva hagynak, hiába bocsátotta ki a gyártó a rájuk való foltot. Ez a — mind hosszabbra nyúló — késedelem a hackerek malmára hajtja a vizet, hiszen több idejük van egy-egy rés elleni támadó kód kifejlesztésére, hangsúlyozza a SANS Institute.

Pedig foltból nincs hiány. Minden hónap második keddje "foltozó kedd", azaz ekkor jelennek meg a Microsoft biztonsági frissítései, s negyedévenként az Adobe is a Microsofttal egy napon bocsátja ki javítócsomagjait.

A harmadik negyedévben július 14-én, augusztus 11-én és szeptember 8-án jelentkezett menetrendszerű biztonsági frissítéssel a Microsoft. Júliusban hat folt látott napvilágot, felük "kritikus", felük pedig "fontos" minősítést kapott. Augusztusban kilenc javítócsomag — öt "kritikus" és négy "fontos" jelent meg; ezek összesen 19 sérülékenységet orvosoltak, többek között a Windowsban, a Windows Media Playerben, az Outlook Expressben, az IIS-ben (Internet Information Serverben) és az Office-ban. Végül, szeptemberi foltozó keddjén öt — Windowshoz készült, "kritikus" minősítésű — biztonsági frissítéssel rukkolt ki a szoftveróriás.

Nem hagyhatjuk említés nélkül, hogy menetrendszerű, havi foltozási rutinjától eltérve, július 28-án két javítócsomagot tett közzé a Microsoft. A foltok az MS09-034 és az MS09-035 jelzést kapták, s az Internet Explorerben (IE) három "kritikus", illetve a Visual Studióban három "mérsékelten fontos" sérülékenységet orvosoltak. Miért volt a javítás mégis ilyen sürgős? Nos, azért, mert a Visual Studio sérülékenységei ugyanis az úgynevezett aktív sablonkönyvtárban (Active Template Library, ATL) voltak, amelyet a Microsoft és külső fejlesztők ActiveX vezérlők és más alkalmazás-összetevők létrehozásához használnak. Így a könyvtár hibái a vele készített programokban is megjelentek.


6. Magyar siker a Microsoftnál

Ha már előbb a redmondi szoftveróriás foltjait vettük számba, ideje szólnunk a hazai informatikai biztonsági ipar nagy fegyvertényéről: a Microsoft megújította több éve fennálló licencszerződését a VirusBusterrel. A kemény verseny ellenére a magyar cég meg tudta őrizni helyét a Microsoft antivírusmotor-beszállítói között. Így a szoftveróriás Forefront Protection for Exchange Servert és Forefront Protection for SharePointot használó ügyfeleit világszerte magyar megoldás is védi a kártevők, az internetes fenyegetések ellen. A Forefront üzleti biztonsági termékcsaládba a Microsoft saját fejlesztése mellett csak négy cég antivírus motorja kerül be: az Authentiumé, a Kasperskyé, a Normané és a VirusBusteré.

Mi a magyar vállalat sikerének titka? Jim Molini, a Microsoft vezető programmenedzsere így nyilatkozott: "Mint korábban, a VirusBuster ma is remek [IT] biztonsági partnerünk. A cég évek során át bizonyította, hogy megbízható technológiát nyújt, olyat, amely kielégíti szigorú minőségi és támogatási követelményeinket. A VirusBuster mindig jól szerepel a független teszteken, s versenytársai többségénél hamarabb jelentkezett 64 bites támogatással. Arra számítunk, hogy következő generációs Forefront szerver biztonsági termékeink révén ügyfeleink élni fognak ezzel a technológiával." Chris Marando, a Microsoft Forefront fejlesztőcsapatának tagja hozzátette: "Technikai szakemberként úgy látom, hogy a VirusBuster folyamatosan lépést tart a technológia fejlődésével, s rendkívül gyorsan javítja ki az esetleges hibákat. Ez nagy segítség az integrációs és karbantartási munkában."

7. "Kiemelkedő" kártevők

Nemcsak a H1N1 fenyeget. PC-inken az elmúlt hónapokban is sokféle kártevő garázdálkodott. A VirusBuster folyamatosan nyilvántartást vezet az észlelt károkozókról. A cég szakemberei kiértékelik a cég házon belüli, illetve különböző helyeken működtetett levelezésvédő rendszereinek "fogását", figyelik a freemailes levelek által hordozott vírusokat. Az adatokból hónapról hónapra toplistát készítenek, s ezek a havi statisztikák a cég honlapján is megjelennek (http://www.virusbuster.hu/labor/virus-toplista). A mintaforrásokat súlyozottan összesítve a július-szeptember időszakra az alábbi kártevő-gyakorisági lista állt elő:

Kártevő

Részesedés

(%)

Trojan.DL.FraudLoad.ONN

41.83%

Trojan.DL.Murlo.BJJ

39.69%

Trojan.Fraudload.HEY

4.68%

Backdoor.VanBot.BBW

3.34%

Backdoor.VanBot.BBX

1.53%

Worm.SdBot.GAP

1.43%

Backdoor.Nepoe.DL

0.83%

Trojan.VB.GUFA

0.80%

Trojan.DL.Branvine.B

0.57%

I-Worm.Netsky.Q

0.34%

                Egyéb:

4.96%

Mint a táblázatból kiderül, a listát úgynevezett trójaiak vezetik — vagyis olyan programok, amelyek a görögök legendás, Trója ellen kitalált falovára emlékeztetnek: látszólag hasznosak, ám valójában nem a felhasználó javára, hanem kárára tervezték őket.

Hogyan árt a harmadik negyedévi fertőzések csaknem négyötödéért felelős Trojan.DL.FraudLoad.ONN és Trojan.DL.Murlo.BJJ? Nos, mindketten fertőzéssel riogatnak, s hamis antivírus programot töltenek le az áldozat gépére — magyarázza Szappanos Gábor, a VirusBuster víruslaboratóriumának vezetője. Mit csinál egy hamis vírusirtó? A gép megtisztításával kecsegtet, ám valójában vagy semmit nem végez — ez a jobbik eset –, vagy valamilyen kártékony tevékenységbe fog. Akárhogy is, készítői pénzt kérnek érte — vagyis a trójaiak egy csalárd üzleti vállalkozás eszközei.

Maguk a trójaiak e-mail csatolmányként érkeznek. A kéretlen levelek feladói valamilyen hasznos állománynak — például megrendelés visszaigazolásának — álcázzák őket, ha azonban megnyitjuk a csatolmányt, már meg is fertőződtünk. A két listavezető kártevő mellett egyébként ugyanebbe a kategóriába tartozik a régebb óta garázdálkodó, s ezért már viszonylag ritkább Trojan.Fraudload.HEY.

Vessünk még egy pillantást a lista néhány más tagjára! A Backdoor.VanBot.BBW, a Backdoor.VanBot.BBX és a Worm.SdBot.GAP az úgynevezett botnet kártevők családjába tartozik. A botnet szó a "robot network" (= robothálózat) angol kifejezés összevonásával született. Jelentése: bűnözők által ellenőrzött gépek hálózata. A hackerek épp az említett kártevők — rosszindulatú programok — segítségével szervezik a PC-ket akár sok országra kiterjedő rendszerbe. Persze az áldozat mit sem tud arról, hogy gépe számítógépes bűnözők eszközévé vált — nem véletlenül nevezik az ilyen "tudtán kívül" beszervezett PC-t zombinak. Mellesleg: sokan hajlamosak legyinteni, ha arról beszélnek nekik: lehet, hogy zombi a gépük. "Mit számít? Én tudok dolgozni, a többi meg nem érdekel" — mondják. Pedig a botnet bűncselekmény eszköze lehet, s előfordulhat, hogy a nemtörődöm felhasználó ajtaján egyszer csak kopogtat a rendőrség…

Napjaink elterjedtebb kártevőit alkotóik weboldalakon keresztül (is) folyamatos frissítik. A kártevők felismerésének biztosítása érdekében más víruslaborokhoz hasonlóan a VirusBuster is folyamatosan nyomon követi ezeket a webhelyeket. A gyakori frissítések miatt természetesen csak generikus felismerési módszerekkel kezeljük őket, az utánkövető feldolgozás nem szolgálná a felhasználók érdekeit.

Íme július-szeptember legaktívabb kártevő-terjesztő domainjei:

Domain

Földrajzi hely

Fájlok száma

Kártevő-család

8i9i.com

 

909

Adware.Cinmus

host-domain-lookup.com

Shalimar, Florida, USA

659

Adware.Swizzor

74.52.164.210

Houston, Texas, USA

490

Trojan.Refpron

193.138.173.160

Marupe, Rigas, Lettország

372

Trojan.FakeAlert

91.211.65.120

Ural, Krasznojarszk, Oroszország

371

Trojan.FakeAlert

opqxn.com

 

362

Trojan.Runner

91.207.61.180

Zaporozsje, Ukrajna

356

Trojan.FakeAlert

51edm.net

Peking, Kína

321

Adware.Cinmus

91.205.111.59

London, Nagy-Britannia

304

Trojan.Hexzone

tutmp3.net

Moszkva, Oroszország

262

TrojanSpy.FlyStudio

91.205.111.65

London, Nagy-Britannia

243

Trojan.Hexzone

78.46.151.178

Gunzenhausen, Németország

225

Trojan.FakeAlert

Táblázatunkat a szokásos adware (reklámhordozó) családok (Swizzor, Cinmus), illetve a FakeAlert hamis antivírus alkalmazások uralják. A fő terjesztési pontok ugyancsak a már megszokottak: az Egyesült Államok, Kína és a szovjet utódállamok.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük